Η χρήση των διαχειριζόμενων ταυτοτήτων που έχουν διαχειριστεί από το χρήστη στο Azure μπορεί να έχει αρκετές συνέπειες για την ασφάλεια, τόσο θετική όσο και αρνητική:
θετικές συνέπειες ασφαλείας
1. Εξάλειψη της διαχείρισης πιστοποιητικών: Οι διαχειριζόμενες ταυτότητες που έχουν διαχειριστεί από τους χρήστες εξαλείφουν την ανάγκη διαχείρισης των διαπιστευτηρίων με το χέρι, μειώνοντας τον κίνδυνο διαρροών διαπιστευτηρίων και ανθρώπινου σφάλματος. Αυτό ενισχύει την ασφάλεια με αυτόματα χειρισμό του κύκλου ζωής ταυτότητας και απλούστευση ταυτότητας για τις υπηρεσίες Azure [10].
2. Ευελιξία και έλεγχος: Οι διαχειριζόμενες ταυτότητες που έχουν διαχειριστεί από το χρήστη είναι πιο ευπροσάρμοστες από τις ταυτότητες που έχουν μεταβληθεί από το σύστημα, καθώς μπορούν να επαναχρησιμοποιηθούν σε πολλούς πόρους και δεν συνδέονται με έναν συγκεκριμένο κύκλο ζωής πόρων. Αυτό επιτρέπει τον καλύτερο έλεγχο της διαχείρισης της ταυτότητας και των δικαιωμάτων [3] [11].
3. Έλεγχος εξουσιοδότησης και πρόσβασης: Οι διαχειριζόμενες ταυτότητες μπορούν να ενσωματωθούν στον Azure Prole-Based Access Control (Azure RBAC) για να ορίσουν ακριβή δικαιώματα για την πρόσβαση σε πόρους. Αυτό εξασφαλίζει ότι οι ταυτότητες έχουν μόνο τα απαραίτητα δικαιώματα, μειώνοντας τον κίνδυνο υπερπλήρωσης [10].
Αρνητικές συνέπειες ασφαλείας
1. Για παράδειγμα, η χορήγηση υπερβολικών δικαιωμάτων μπορεί να οδηγήσει σε κλιμάκωση προνομίων, επιτρέποντας την μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητους πόρους [1].
2. Εμμονία και μυστικότητα: Υπήρξαν περιπτώσεις όπου οι επιτιθέμενοι έχουν εκμεταλλευτεί τις διαχειριζόμενες ταυτότητες για να διατηρήσουν την εμμονή στις υπηρεσίες Azure. Αυτό μπορεί να συμβεί εάν ένας εισβολέας αποκτήσει πρόσβαση στο διακριτικό αναγνωριστικού ENTRA που σχετίζεται με μια διαχειριζόμενη ταυτότητα, επιτρέποντάς τους να μιμηθούν την ταυτότητα χωρίς ανίχνευση [4].
3. Περιορισμοί ανανέωσης συμβόλων: Οι αλλαγές σε δικαιώματα διαχειριζόμενης ταυτότητας ενδέχεται να μην τεθούν σε ισχύ αμέσως λόγω της προσωρινής αποθήκευσης συμβόλων. Αυτό μπορεί να οδηγήσει σε καθυστερήσεις στην ανάκληση πρόσβασης, επιτρέποντας ενδεχομένως να συνεχιστούν οι μη εξουσιοδοτημένες ενέργειες για αρκετές ώρες [3].
4. Πρόληψη της μη εξουσιοδοτημένης χρήσης: Για να αποφευχθεί η μη εξουσιοδοτημένη χρήση, είναι ζωτικής σημασίας την εφαρμογή ισχυρών ελέγχων πρόσβασης, όπως η πολιτική Azure, το RBAC και η παρακολούθηση των αλλαγών στις διαχειριζόμενες αναθέσεις ταυτότητας [2] [9].
Συνολικά, ενώ οι διαχειριζόμενες ταυτότητες που έχουν διαχειριστεί από τους χρήστες προσφέρουν σημαντικά οφέλη ασφαλείας, απαιτούν προσεκτική διαχείριση και παρακολούθηση για να μετριάσουν τους πιθανούς κινδύνους.
Αναφορές:
[1] https://practical365.com/heard-at-tec-mischief-raged-attacking-ands-securing-azure-managed-identities/
[2] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identities-faq
[3] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[4] https://www.youtube.com/watch?v=sgp91luda3k
[5] https://learn.microsoft.com/en-us/entra/archituecture/service-accounts-ganaged-identities
[6] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/how-manage-user-assigned-ganaged-identies
[7] https://www.varonis.com/blog/azure-ganaged-identities
[8] https://help.zerto.com/bundle/install.ma.html.9.5/page/enabling_user_assigned_managed_identities_and_setting_mandatory_permissions_in_azure.htm
[9] https://www.reddit.com/r/azure/comments/175EWBQ/Managed_Indity_How_To_Prevent_others_from_using/
[10] https://www.techtarget.com/searchcloudcomputing/tip/managed-identity-vs-service-principal-for-azure-apps
[11] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-formed-identities/