Izmantojot lietotāju piešķirtās pārvaldītās identitātes Azure, var būt vairākas ietekmes uz drošību-gan pozitīvām, gan negatīvām:
pozitīva ietekme uz drošību
1. akreditācijas pārvaldības likvidēšana: Lietotāju piešķirtās pārvaldītās identitātes novērš nepieciešamību manuāli pārvaldīt akreditācijas datus, samazinot akreditācijas noplūdes un cilvēku kļūdu risku. Tas uzlabo drošību, automātiski apstrādājot identitātes dzīves ciklu un vienkāršojot Azure pakalpojumu autentifikāciju [10].
2. Elastība un vadība: lietotājam piešķirtās pārvaldītās identitātes ir daudzpusīgākas nekā sistēmas piešķirtās identitātes, jo tās var atkārtoti izmantot vairākos resursos un nav saistītas ar noteiktu resursa dzīves ciklu. Tas ļauj labāk kontrolēt identitātes pārvaldību un atļaujas [3] [11].
3. Autorizācijas un piekļuves kontrole: Pārvaldītās identitātes var integrēt ar Azure lomu balstītu piekļuves kontroli (Azure RBAC), lai definētu precīzas atļaujas piekļuvei resursiem. Tas nodrošina, ka identitātei ir tikai nepieciešamās atļaujas, samazinot pārmērīgas privilēģijas risku [10].
Negatīva ietekme uz drošību
1. Nepareiza konfigurācijas riski: ja tā nav pareizi konfigurēta, lietotāja piešķirta pārvaldīta identitāte var izraisīt drošības problēmas. Piemēram, pārmērīgu atļauju piešķiršana var izraisīt privilēģiju eskalāciju, ļaujot neatļautai piekļuvei jutīgiem resursiem [1].
2. Noturība un slepena: Ir bijuši gadījumi, kad uzbrucēji ir izmantojuši pārvaldītu identitāti, lai saglabātu noturību Azure pakalpojumos. Tas var notikt, ja uzbrucējs iegūst piekļuvi ENTRA ID marķierim, kas saistīts ar pārvaldītu identitāti, ļaujot viņiem uzdoties par identitāti bez atklāšanas [4].
3. Žetonu atsvaidzināšanas ierobežojumi: Izmaiņas pārvaldītās identitātes atļaujās var nestaigāt nekavējoties marķēšanas kešatmiņas kešatmiņas dēļ. Tas var izraisīt aizkavēšanos piekļuves atcelšanā, potenciāli ļaujot neatļautām darbībām turpināties vairākas stundas [3].
4. Neatļautas lietošanas novēršana: lai novērstu neatļautu izmantošanu, ir svarīgi ieviest stabilu piekļuves kontroli, piemēram, Azure politiku, RBAC un pārraudzīto pārvaldīto identitātes uzdevumu izmaiņu uzraudzību [2] [9].
Kopumā, lai arī lietotāju piešķirtās pārvaldītās identitātes piedāvā ievērojamas drošības priekšrocības, tām nepieciešama rūpīga pārvaldība un uzraudzība, lai mazinātu iespējamos riskus.
Atsauces:
[1.]
.
[3.]
[4] https://www.youtube.com/watch?v=sgp91luda3k
[5] https://learn.microsoft.com/en-us/entra/architecture/service-accounts-managed-identities
[6] https://docs.azure.cn/en-us/entra/identity/managed-Identities
[7] https://www.varonis.com/blog/azure-managed-identities
[8] https://help.zerto.com/bundle/install.ma.html.9.
[9] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[10] https://www.techtarget.com/searchcloudcomputing/tip/managed-identity-vs-service-principal-for-azure-apps
[11] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/