Naudojant vartotojo paskirtas valdomas tapatybes „Azure“, gali turėti keletą teigiamų ir neigiamų saugumo padarinių:
Teigiamos saugumo pasekmės
1. Kredencialų valdymo panaikinimas: vartotojo paskirtos valdomos tapatybės pašalina poreikį rankiniu būdu valdyti kredencialus, sumažinant kredencialų nuotėkio riziką ir žmogiškąsias klaidas. Tai padidina saugumą automatiškai tvarkant tapatybės gyvavimo ciklą ir supaprastinant „Azure“ paslaugų autentifikavimą [10].
2. Lankstumas ir valdymas: Vartotojo paskirtos valdomos tapatybės yra universalesnės nei sistemos paskyrimo tapatybės, nes jos gali būti pakartotinai naudojamos įvairiais ištekliais ir nėra susietos su konkrečiu išteklių gyvavimo ciklu. Tai leidžia geriau kontroliuoti tapatybės valdymą ir leidimus [3] [11].
3. Leidimo ir prieigos kontrolė: Tvarkomas tapatybes galima integruoti su Azure vaidmenimis pagrįstą prieigos kontrolę (Azure RBAC), kad būtų galima apibrėžti tikslius leidimus naudotis ištekliais. Tai užtikrina, kad tapatybės turi tik reikiamus leidimus, sumažinant per didelio privilegijuoto rizikos riziką [10].
Neigiamos saugumo pasekmės
1. Klaidingos rizikos konfigūracijos rizika: jei netinkamai sukonfigūruota, vartotojui skirtos valdomos tapatybės gali sukelti saugumo problemų. Pvz., Suteikus per didelius leidimus, gali būti padidinta privilegija, leidžianti neteisėtą prieigą prie neskelbtinų išteklių [1].
2. Atkaklumas ir slaptumas: Buvo atvejų, kai užpuolikai išnaudojo valdomą tapatybę, kad išlaikytų „Azure“ paslaugų atkaklumą. Tai gali įvykti, jei užpuolikas įgyja prieigą prie ENTRA ID prieigos rakto, susijusio su valdomu tapatybe, leisdamas jiems apsimesti tapatumu be aptikimo [4].
3. Tokeno atnaujinimo apribojimai: valdomo tapatybės leidimų pakeitimai gali neįsigalioti iškart dėl žetonų talpyklos. Tai gali sukelti vėlavimą atšaukti prieigą, o tai gali leisti neleistiems veiksmams tęsti kelias valandas [3].
4. Unautorizuoto naudojimo prevencija: Norint išvengti neteisėto naudojimo, labai svarbu įgyvendinti patikimą prieigos kontrolę, pavyzdžiui, „Azure“ politiką, RBAC ir stebėti valdomų tapatybės priskyrimų pakeitimus [2] [9].
Apskritai, nors vartotojui skirtos valdomos tapatybės siūlo didelę saugumo naudą, jiems reikia kruopštaus valdymo ir stebėjimo, kad būtų sušvelninta galimi rizika.
Citatos:
[1] https://practical365.com/heard-at-tec-hischief-samage-pittacking-and-Securing-azure-Managed-didtities/
[2] https://learn.microsoft.com/en-us/entra/identity/managed-dentitity-azure-resources/Managed-didenttities-faq
[3] https://learn.microsoft.com/en-us/entra/identity/managed-dentitity-azure-resources/managed-dentity-best-praktice-recomendations
[4] https://www.youtube.com/watch?v=SGP91LUDA3K
[5] https://learn.microsoft.com/en-us/Entra/architcture/service-accounts-handageaged-entitties
[6] https://docs.azure.cn/en-us/entra/identity/managed-dentitity-azure-resources/how-Manage-user-assigned-langeage-ideties
[7] https://www.varonis.com/blog/azure-Managed-didtities
[8] https://help.zerto.com/bundle/install.ma.html.9.5/page/enabling_user_assigned_managed_identities_and_setting_mandatory_permissions_in_azure.htm
[9] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_thers_from_using/
[10] https://www.techtarget.com/searchcloudcomputing/tip/managed-dentity-vs-service-principal-for-azure-apps
[11] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-eSsigned-langed-didtities/