Uporaba upravljanih identitet, dodeljenih uporabnikom v Azure, ima lahko več varnostnih posledic, tako pozitivnih kot negativnih:
Pozitivne varnostne posledice
1. Odprava upravljanja poverilnic: Upravljane identitete, ki jih upravlja uporabnik, odpravijo potrebo po ročnem upravljanju poverilnic, kar zmanjšuje tveganje za uhajanje poverilnic in človeške napake. To izboljšuje varnost s samodejnim ravnanjem z življenjskim ciklom identitete in poenostavitvijo pristnosti za storitve Azure [10].
2. Prilagodljivost in nadzor: Upravljane identitete, ki jih upravljajo uporabniki, so bolj vsestranske od identitet, dodeljenih sistemu, saj jih je mogoče ponovno uporabiti v več virih in niso vezane na določen življenjski cikel virov. To omogoča boljši nadzor nad upravljanjem identitete in dovoljenji [3] [11].
3. Pooblastilo in nadzor dostopa: Upravljane identitete lahko integrirate z Azure vlog, ki temelji na vlogah, nadzor dostopa (Azure RBAC), da se določi natančna dovoljenja za dostop do virov. To zagotavlja, da imajo identitete le potrebna dovoljenja, kar zmanjšuje tveganje za prekomerno privilegiranje [10].
Negativne varnostne posledice
1. napačna konfiguracijska tveganja: Če niso pravilno konfigurirani, lahko upravljane identitete, dodeljene uporabnikom, lahko privedejo do varnostnih težav. Na primer, odobritev prekomernih dovoljenj lahko povzroči stopnjevanje privilegiranja, kar omogoča nepooblaščen dostop do občutljivih virov [1].
2. Vztrajnost in prikrivanje: Obstajali so primeri, ko so napadalci izkoristili upravljane identitete, da bi ohranili vztrajnost v storitvah Azure. Do tega se lahko zgodi, če napadalec dobi dostop do žetona ID -ja ENTRA, povezanega z upravljano identiteto, kar jim omogoča, da brez odkritja lažno predstavljajo identiteto [4].
3. Omejitve osveževanja žetona: Spremembe dovoljenj upravljane identitete ne bodo začele veljati takoj zaradi predpomnjenja žetona. To lahko privede do zamud pri preklicu dostopa, kar lahko omogoča, da se nepooblaščena dejanja nadaljujejo več ur [3].
4. Preprečevanje nepooblaščene uporabe: Za preprečevanje nepooblaščene uporabe je ključnega pomena za izvajanje močnih kontrol dostopa, kot so politika Azure, RBAC in spremljanje sprememb upravljanih dodelitev identitete [2] [9].
Na splošno, čeprav upravljane identitete, ki jih upravljajo uporabniki, ponujajo pomembne varnostne ugodnosti, potrebujejo skrbno upravljanje in spremljanje za zmanjšanje možnih tveganj.
Navedbe:
[1] https://practical365.com/heard-t-tec-mischief-managed-attacking-and-securing-azure-managed-identitys/
[2] https://learn.microsoft.com/en-us/entra/identy/managed-identity-azure-resources/managed-identity-faq
[3] https://learn.microsoft.com/en-us/entra/identy/managed-identity-azure-resources/managed-identity-best-practice-reComventions
[4] https://www.youtube.com/watch?v=sgp91luda3k
[5] https://learn.microsoft.com/en-us/entra/architecture/service-accounts-managed-identes
[6] https://docs.azure.cn/en-us/entra/identity/managed-identity-azure-resources/how-manage-user-assigned-managed-identes
[7] https://www.varonis.com/blog/azure-managed-identes
[8] https://help.zerto.com/bundle/install.ma.html.9.5/page/enabling_user_assigned_managed_identes_and_setting_mandatory_permissions_in_in_azure.htm
[9] https://www.reddit.com/r/azure/comments/175ewbq/managed_identy_how_to_prevent_others_from_using/
[10] https://www.techtarget.com/searchcloudcomputing/tip/managed-identity-vs-service-principal-for-azure-apps
[11] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identes/