Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon 사용자가 할인 된 관리 신원 사용의 보안 영향은 무엇입니까?


사용자가 할인 된 관리 신원 사용의 보안 영향은 무엇입니까?


Azure에서 사용자가 할인 된 관리 아이덴티티를 사용하면 긍정적이고 부정적인 몇 가지 보안에 영향을 줄 수 있습니다.

긍정적 인 보안 영향

1. 자격 증명 관리 : 사용자가 할당 된 관리 ID는 수동으로 자격 증명을 관리 할 필요가 없어 자격 증명 유출 및 인적 오류의 위험을 줄입니다. 이는 신원 수명주기를 자동으로 처리하고 Azure Services에 대한 인증을 단순화하여 보안을 향상시킵니다 [10].

2. 유연성 및 제어 : 사용자가 할당 된 관리 ID는 여러 리소스에서 재사용 할 수 있고 특정 리소스 수명주기에 연결되지 않기 때문에 시스템에 따라 정렬 된 ID보다 다재다능합니다. 이를 통해 신원 관리 및 권한을 더 잘 제어 할 수 있습니다 [3] [11].

3. 승인 및 액세스 제어 : 관리 된 ID는 Azure 역할 기반 액세스 제어 (Azure RBAC)와 통합되어 리소스 액세스에 대한 정확한 권한을 정의 할 수 있습니다. 이를 통해 신원은 필요한 권한 만 가지고있어 과도한 사례의 위험을 줄입니다 [10].

부정적인 보안 영향

1. 오해 위험 : 제대로 구성되지 않으면 사용자가 부여 된 관리 신원은 보안 문제로 이어질 수 있습니다. 예를 들어, 과도한 권한을 부여하면 특권 에스컬레이션이 발생하여 민감한 자원에 대한 무단 액세스가 가능합니다 [1].

2. 지속성과 스텔스 : 공격자가 Azure 서비스의 지속성을 유지하기 위해 관리 정체성을 이용한 사례가 있습니다. 이는 공격자가 관리 된 신원과 관련된 Entra ID 토큰에 대한 액세스를 얻어 탐지없이 신원을 사칭 할 수있는 경우에 발생할 수 있습니다 [4].

3. 토큰 새로 고침 제한 사항 : 관리 된 ID의 권한 변경은 토큰 캐싱으로 인해 즉시 적용되지 않을 수 있습니다. 이로 인해 액세스 취소가 지연 될 수 있으며, 잠재적으로 무단 조치가 몇 시간 동안 계속 될 수 있습니다 [3].

4. 무단 사용 예방 : 무단 사용을 방지하기 위해 Azure 정책, RBAC와 같은 강력한 액세스 제어 및 관리 신원 할당의 변경 사항에 대한 모니터링을 구현하는 것이 중요합니다 [2] [9].

전반적으로, 사용자가 지원하는 관리 ID는 상당한 보안 이점을 제공하지만 잠재적 위험을 완화하기 위해 신중한 관리 및 모니터링이 필요합니다.

인용 :
[1] https://practical365.com/heard-at-tec-mischief-managed-attacking-and-securing-azure-managed-identities/
[2] https://learn.microsoft.com/en-us/entra/managed-identities-azure-resources/managed-identities-faq
[3] https://learn.microsoft.com/en-us/entra/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[4] https://www.youtube.com/watch?v=sgp91luda3k
[5] https://learn.microsoft.com/en-us/entra/architecture/service-accounts-managed-identities
[6] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/how-manage-user-assigned-managed-identities
[7] https://www.varonis.com/blog/azure-managed-identities
[8] https://help.zerto.com/bundle/install.ma.html.9.5/page/enabling_user_assigned_managed_identities_and_setting_mandatory_permissions_in_azure.htm
[9] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[10] https://www.techtarget.com/searchcloudcomputing/tip/managed-identity-vs-service-principal-for-azure-apps
[11] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/