El uso de identidades administradas asignadas por el usuario en Azure puede tener varias implicaciones de seguridad, tanto positivas como negativas:
Implicaciones de seguridad positivas
1. Eliminación de la gestión de las credenciales: las identidades administradas asignadas por el usuario eliminan la necesidad de gestionar manualmente las credenciales, reduciendo el riesgo de fugas de credenciales y errores humanos. Esto mejora la seguridad al manejar automáticamente el ciclo de vida de identidad y simplificar la autenticación para los servicios de Azure [10].
2. Flexibilidad y control: las identidades administradas asignadas por el usuario son más versátiles que las identidades asignadas al sistema, ya que pueden reutilizarse en múltiples recursos y no están vinculados a un ciclo de vida de recursos específico. Esto permite un mejor control sobre la gestión de la identidad y los permisos [3] [11].
3. Autorización y control de acceso: las identidades administradas se pueden integrar con el control de acceso basado en roles de Azure (Azure RBAC) para definir permisos precisos para acceder a los recursos. Esto asegura que las identidades solo tengan los permisos necesarios, reduciendo el riesgo de sobrevivilizar [10].
Implicaciones de seguridad negativas
1. Riesgos de configuración errónea: si no se configuran correctamente, las identidades administradas asignadas por el usuario pueden conducir a problemas de seguridad. Por ejemplo, otorgar permisos excesivos puede dar lugar a una escalada de privilegios, lo que permite el acceso no autorizado a recursos sensibles [1].
2. Persistencia y sigilo: ha habido casos en los que los atacantes han explotado las identidades administradas para mantener la persistencia en los servicios de Azure. Esto puede ocurrir si un atacante obtiene acceso al token Entra ID asociado con una identidad administrada, lo que les permite hacerse pasar por la identidad sin detección [4].
3. Limitaciones de actualización de token: los cambios en los permisos de una identidad administrada pueden no entrar en vigencia de inmediato debido al almacenamiento en caché del token. Esto puede conducir a demoras en revocar el acceso, lo que puede permitir que las acciones no autorizadas continúen durante varias horas [3].
4. Prevención del uso no autorizado: para evitar el uso no autorizado, es crucial implementar controles de acceso sólidos, como la política de Azure, la RBAC y el monitoreo de los cambios en las asignaciones de identidad administradas [2] [9].
En general, mientras que las identidades administradas asignadas por el usuario ofrecen importantes beneficios de seguridad, requieren una cuidadosa gestión y monitoreo para mitigar los riesgos potenciales.
Citas:
[1] https://practical365.com/heard-at-tec-mischief-managed-tacking-and-securing-azure-didenties/
[2] https://learn.microsoft.com/en-us/entra/identity/managed-identity-azure-resources/managed-identity-faq
[3] https://learn.microsoft.com/en-us/entra/identity/managed-identity-azure-resources/managed-identity-best-practice-retomes
[4] https://www.youtube.com/watch?v=sgp91luda3k
[5] https://learn.microsoft.com/en-us/entra/architecture/service-accounts-genered-identidades
[6] https://docs.azure.cn/en-us/entra/identity/managed-identies-azure-resources/how-manage-user-signed-didenties ganage-didenties
[7] https://www.varonis.com/blog/azure-genered-identies
[8] https://help.zerto.com/bundle/install.ma.html.9.5/page/enabling_user_assigned_managed_identies_and_setting_mandatory_permissions_in_azure.htm
[9] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[10] https://www.techtarget.com/searchcloudcomputing/tip/managed-identity-vs-service-principal-for-azure-apps
[11] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-didentities/