Å bruke brukertillitede administrerte identiteter i Azure kan ha flere sikkerhetsmessige implikasjoner, både positive og negative:
Positive sikkerhetsmessige implikasjoner
1. Eliminering av legitimasjonsstyring: Brukertildelte administrerte identiteter eliminerer behovet for å manuelt administrere legitimasjon, og redusere risikoen for legitimasjonslekkasjer og menneskelig feil. Dette forbedrer sikkerheten ved automatisk å håndtere identitetslivssyklusen og forenkle autentisering for Azure Services [10].
2. Fleksibilitet og kontroll: Brukertillitede administrerte identiteter er mer allsidige enn systemtilordnede identiteter, da de kan gjenbrukes på tvers av flere ressurser og ikke er bundet til en spesifikk ressurslivssyklus. Dette gir bedre kontroll over identitetsstyring og tillatelser [3] [11].
3. Autorisasjon og tilgangskontroll: Administrert identiteter kan integreres med Azure rollebasert tilgangskontroll (Azure RBAC) for å definere presise tillatelser for tilgang til ressurser. Dette sikrer at identiteter bare har nødvendige tillatelser, noe som reduserer risikoen for overprivilegering [10].
Negative sikkerhetsmessige implikasjoner
1. Feilkonfigurasjonsrisiko: Hvis ikke riktig konfigurert, kan brukertildelte administrerte identiteter føre til sikkerhetsproblemer. Å gi overdreven tillatelser kan for eksempel føre til opptrapping av privilegier, noe som gir uautorisert tilgang til sensitive ressurser [1].
2. Persistens og stealth: Det har vært tilfeller der angripere har utnyttet administrerte identiteter for å opprettholde utholdenhet i Azure Services. Dette kan oppstå hvis en angriper får tilgang til Entra ID -symbolet assosiert med en administrert identitet, slik at de kan etterligne identiteten uten deteksjon [4].
3. Token oppdateringsbegrensninger: Endringer i en administrert identitets tillatelser kan ikke tre i kraft umiddelbart på grunn av tokenbuffer. Dette kan føre til forsinkelser i tilbakekalling av tilgang, og potensielt la uautoriserte handlinger fortsette i flere timer [3].
4. Forebygging av uautorisert bruk: For å forhindre uautorisert bruk er det avgjørende å implementere robuste tilgangskontroller, for eksempel Azure Policy, RBAC og overvåking for endringer i administrerte identitetsoppgaver [2] [9].
Totalt sett, mens brukertilordne administrerte identiteter tilbyr betydelige sikkerhetsfordeler, krever de nøye styring og overvåking for å dempe potensielle risikoer.
Sitasjoner:
[1] https://practical365.com/heard-at-tec-mischief-managed-angreping-and-securing-zure- managed-identities/
[2] https://learn.microsoft.com/en-us/entra/identity/managed-Identities-azure-resources/managed-Identities-faq
[3] https://learn.microsoft.com/en-us/entra/identity/managed-Identities-azure-resources/managed-Identity-best-practice-recommendations
[4] https://www.youtube.com/watch?v=sgp91luda3k
[5] https://learn.microsoft.com/en-us/entra/architecture/service-accounts-Anaged-IDentities
[6] https://docs.azure.cn/en-us-us/entra/identity/managed-Identities-azure-resources/how-manage-user-iligned-managed-Identities
[7] https://www.varonis.com/blog/azure-managed-Identities
[8] https://help.zerto.com/bundle/install.ma.html.9.5/page/enabling_user_assigned_managed_identities_and_seting_mandatory_permissions_in_azure.htm
[9] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[10] https://www.techtarget.com/searchcloudcomputing/tip/managed-Identity-vs-service-principal-for-azure-apps
[11] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/