Použitie spravovaných identity pridelených používateľom v Azure môže mať niekoľko bezpečnostných dôsledkov, pozitívnych aj negatívnych:
Pozitívne bezpečnostné dôsledky
1. Eliminácia riadenia poverení: spravované identity pridelené používateľom eliminujú potrebu manuálne riadiť poverenia, čím sa zníži riziko úniku poverenia a ľudských chýb. To zvyšuje bezpečnosť automatickým spracovaním životného cyklu identity a zjednodušením autentifikácie pre Azure Services [10].
2. Flexibilita a riadenie: Spravované identity pridelené používateľom sú univerzálnejšie ako identity pridelené do systému, pretože sa dajú znovu použiť na viacerých zdrojoch a nie sú viazané na konkrétny životný cyklus zdrojov. To umožňuje lepšiu kontrolu nad riadením identity a povolení [3] [11].
3. Autorizácia a kontrola prístupu: Spravované identity môžu byť integrované s riadením prístupu založeného na Azure (Azure RBAC) na definovanie presných povolení na prístup k zdrojom. To zaisťuje, že totožnosti majú iba potrebné povolenia, čím sa znižujú riziko nadmerného priviletného [10].
Negatívne bezpečnostné dôsledky
1. Riziká nesprávneho konfigurácie: Ak nie sú správne nakonfigurované, spravované identity pridelené používateľom môžu viesť k problémom s bezpečnosťou. Napríklad udelenie nadmerných povolení môže mať za následok eskaláciu privilégií, čo umožňuje neoprávnený prístup k citlivým zdrojom [1].
2. Perzistencia a utajenie: Existujú prípady, keď útočníci využívali riadenie identity na udržanie vytrvalosti v Azure Services. K tomu môže dôjsť, ak útočník získa prístup k tokenu Entra ID spojeného s riadenou identitou, čo im umožní vydávať sa za identitu bez detekcie [4].
3. Token Obmedzenia Obmedzenia: Zmeny v povoleniach spravovanej identity nemusia mať okamžité účinky v dôsledku ukladania do vyrovnávacej pamäte tokenu. To môže viesť k oneskoreniam pri zrušení prístupu, čo potenciálne umožňuje neoprávnené akcie pokračovať niekoľko hodín [3].
4. Prevencia neoprávneného použitia: Na prevenciu neoprávneného použitia je rozhodujúce implementovať robustné kontroly prístupu, ako je Azure Policy, RBAC, a monitorovanie zmien v riadených priradeniach identity [2] [9].
Celkovo, zatiaľ čo spravované identity pridelené používateľom ponúkajú významné bezpečnostné výhody, vyžadujú starostlivé riadenie a monitorovanie na zmiernenie potenciálnych rizík.
Citácie:
[1] https://praktical365.com/heard-at---ec-mischief-managed-attacking-s-secucing-azure-managed-identities/
[2] https://learn.microsoft.com/en-us/entra/identity/managed-identies-azure-resources/Managed-identies-faq
[3] https://learn.microsoft.com/en-us/entra/identity/managed-identies-azure-resources/Managed-identity-best-practice-cordmencations
[4] https://www.youtube.com/watch?v=sgp91luda3k
[5] https://learn.microsoft.com/en-us/entra/architecture/service-accounts-managed-identities
[6] https://docs.azure.cn/en-us/entra/identity/maned-identies-azure-resources/how-manage-user-assigned-maned-identities
[7] https://www.varonis.com/blog/azure-managed-identities
Https://help.zerto.com/bundle/install.ma.html.9.5/page/enabling_user_assigned_managed_identities_and_setting_mandatory_permissions_in_azure.htm
[9] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[10] https://www.techtarget.com/SearchcloudComputing/tip/maned-identity-vs-service-principal-for-cor-azare-apps
[11] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/