Azuren käyttäjän määrittämillä hallinnoiduilla identiteeteillä voi olla useita tietoturvavaikutuksia, sekä positiivisia että negatiivisia:
positiiviset turvallisuusvaikutukset
1. Valtatietojen hallinnan eliminointi: Käyttäjän määrittämät hallinnoidut identiteetit poistavat tarpeen hallita valtakirjoja manuaalisesti, vähentäen valtakirjavuotojen ja inhimillisten virheiden riskiä. Tämä parantaa turvallisuutta käsittelemällä henkilöllisyyden elinkaaren automaattisesti ja yksinkertaistamalla Azure -palveluiden todennusta [10].
2. Joustavuus ja hallinta: Käyttäjän määrittämät hallinnoidut identiteetit ovat monipuolisempia kuin järjestelmän määrittämät identiteetit, koska niitä voidaan käyttää uudelleen useissa resursseissa eikä niitä ole sidottu tiettyyn resurssien elinkaareen. Tämä mahdollistaa identiteetin hallinnan ja käyttöoikeuksien paremman hallinnan [3] [11].
3. Valtuutus ja kulunvalvonta: Hallittu identiteetit voidaan integroida Azure-roolipohjaiseen pääsynvalvontaan (Azure RBAC) määritelläksesi tarkkojen käyttöoikeudet resurssien saamiseksi. Tämä varmistaa, että identiteetteillä on vain tarvittavat käyttöoikeudet, mikä vähentää ylikuormituksen riskiä [10].
Negatiiviset turvallisuusvaikutukset
1. Väärin määritysriskit: Jos sitä ei ole määritetty oikein, käyttäjän määrittelemät hallinnoidut identiteetit voivat johtaa tietoturvaongelmiin. Esimerkiksi liiallisten käyttöoikeuksien myöntäminen voi johtaa etuoikeuksien lisääntymiseen, mikä mahdollistaa luvattoman pääsyn arkaluontoisiin resursseihin [1].
2. Pysyvyys ja varkaus: On ollut tapauksia, joissa hyökkääjät ovat hyödyntäneet hallittuja identiteettejä pysyvyyden ylläpitämiseksi Azure -palveluissa. Tämä voi tapahtua, jos hyökkääjä saa pääsyn hallittuun identiteettiin liittyvään Enra ID -tunnukseen, jolloin he voivat esiintyä identiteetin ilman havaitsemista [4].
3. Token Rivis -rajoitukset: Muutokset hallinnoidun identiteetin käyttöoikeuksiin eivät välttämättä tule voimaan välittömän välimuistin vuoksi. Tämä voi johtaa viivästyksiin pääsyn kumoamisessa, mikä mahdollisesti sallii luvattomien toimien jatkamisen useita tunteja [3].
4. Luvattoman käytön estäminen: Luvattoman käytön estämiseksi on välttämätöntä toteuttaa vankka pääsyhallinta, kuten Azure -käytäntö, RBAC ja hallittujen henkilöllisyystodistusten muutosten seuranta [2] [9].
Kaiken kaikkiaan, vaikka käyttäjän määrittämät hallinnoidut identiteetit tarjoavat merkittäviä turvallisuusetuja, ne vaativat huolellista hallintaa ja seurantaa mahdollisten riskien lieventämiseksi.
Viittaukset:
.
.
.
[4] https://www.youtube.com/watch?v=SGP91LISDA3K
[5] https://learn.microsoft.com/en-us/entra/architecture/service-accounts-managed-identies
.
[7] https://www.varonis.com/blog/azure-managed-identies
.
[9.
[10] https://www.techtarget.com/searchcloudcomputing/tip/managed-identity-vs-service-principal-for-azure-apps
.