Utilizarea identităților gestionate de utilizator în Azure poate avea mai multe implicații de securitate, atât pozitive, cât și negative:
Implicații pozitive de securitate
1. Eliminarea managementului de acreditare: Identitățile gestionate de utilizator elimină nevoia de a gestiona manual acreditările, reducând riscul de scurgeri de acreditare și eroare umană. Acest lucru îmbunătățește securitatea prin gestionarea automată a ciclului de viață al identității și simplificarea autentificării pentru serviciile Azure [10].
2. Flexibilitate și control: Identitățile gestionate de utilizator sunt mai versatile decât identitățile atribuite de sistem, deoarece pot fi reutilizate pe mai multe resurse și nu sunt legate de un ciclu de viață al resurselor specifice. Acest lucru permite un control mai bun asupra gestionării identității și a permisiunilor [3] [11].
3. Autorizare și control de acces: Identitățile gestionate pot fi integrate cu controlul de acces bazat pe rol Azure (Azure RBAC) pentru a defini permisiuni precise pentru accesarea resurselor. Acest lucru asigură că identitățile au doar permisiunile necesare, reducând riscul de exces de privilegare [10].
Implicații negative privind securitatea
1.. Riscuri de configurare greșită: Dacă nu este configurată în mod corespunzător, identitățile gestionate de utilizator pot duce la probleme de securitate. De exemplu, acordarea de permisiuni excesive poate duce la escaladarea privilegiilor, permițând accesul neautorizat la resurse sensibile [1].
2. Persistența și furtul: Au existat cazuri în care atacatorii au exploatat identități gestionate pentru a menține persistența în serviciile Azure. Acest lucru poate apărea dacă un atacator obține acces la jetonul ID Entra asociat cu o identitate gestionată, permițându -le să înlocuiască identitatea fără detectare [4].
3. Limitări de actualizare a jetoanelor: Modificările la permisiunile identității gestionate nu pot intra în vigoare imediat din cauza memoriei în cache. Acest lucru poate duce la întârzieri în accesul la revocare, permițând posibilitatea acțiunilor neautorizate să continue câteva ore [3].
4. Prevenirea utilizării neautorizate: Pentru a preveni utilizarea neautorizată, este crucial să se implementeze controale de acces robuste, cum ar fi politica Azure, RBAC și monitorizarea pentru modificările atribuțiilor de identitate gestionate [2] [9].
În general, în timp ce identitățile gestionate de utilizator oferă beneficii semnificative de securitate, acestea necesită o gestionare atentă și monitorizare pentru atenuarea riscurilor potențiale.
Citări:
[1] https://practical365.com/heard-at-tec-mischief-managed-attacking-and-securiting-azure-managed-identities/
[2] https://learn.microsoft.com/en-us/entra/identity/Managed-Identities-Azure-Resources/Managed-Identities-Faq
[3] https://learn.microsoft.com/en-us/entra/identity/Managed-Identities-Azure-Resources/Managed-Identity-Best-Practice-Recommendations
[4] https://www.youtube.com/watch?v=SGP91LUDA3K
[5] https://learn.microsoft.com/en-us/entra/architecture/service-accounts-managed-identities
[6] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/how-manage-user-assigned-managed-identities
[7] https://www.varonis.com/blog/azure-managed-identities
[8] https://help.zerto.com/bundle/install.ma.html.9.5/page/enabling_user_assigned_managed_identities_and_setting_mandatory_permissions_in_azure.htm
[9] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_other_from_using/
[10] https://www.techtarget.com/searchcloudcomputing/tip/managed-identity-vs-service-pincipal-for-azure-apps
[11] https://www.red-gate.com/simple-ticalk/cloud/azure/azure-function-and-user-assigned-managed-identities/