Використання призначених користувачем керованих ідентичностей в Azure може мати кілька наслідків безпеки, як позитивних, так і негативних:
Позитивні наслідки безпеки
1. Усунення управління обліковими записами: призначена користувачем керована ідентичності усуває необхідність вручну управління обліковими записами, зменшуючи ризик витоків облікових даних та людських помилок. Це підвищує безпеку, автоматично обробляючи життєвий цикл ідентичності та спрощуючи автентифікацію для служб Azure [10].
2. Гнучкість та контроль: Призначені користувачі керовані ідентичності є більш універсальними, ніж призначені системи, оскільки вони можуть бути використані за різними ресурсами і не пов'язані з певним життєвим циклом ресурсів. Це дозволяє краще контролювати управління ідентичністю та дозволи [3] [11].
3. Дозвіл та контроль доступу: керовані ідентичності можуть бути інтегровані з контролем доступу на основі Azure (Azure RBAC) для визначення точних дозволів для доступу до ресурсів. Це гарантує, що ідентичності мають лише необхідні дозволи, зменшуючи ризик перенапруження [10].
Негативні наслідки безпеки
1. Ризики неправильної конфігурації: Якщо не належним чином налаштовано, призначені користувачі керовані ідентичності можуть призвести до проблем із безпекою. Наприклад, надання надмірних дозволів може призвести до ескалації привілеїв, що дозволяє несанкціонований доступ до чутливих ресурсів [1].
2. Наполегливість та схованість: Були випадки, коли зловмисники експлуатували керовану ідентичність для підтримки наполегливості в Azure Services. Це може статися, якщо зловмисник отримує доступ до токера ID Entra, пов'язаного з керованою ідентичністю, що дозволяє їм представляти особу без виявлення [4].
3. Обмеження оновлення токенів: Зміни дозволів керованої ідентичності можуть не набути чинності негайно через кешування токенів. Це може призвести до затримок у відкликанні доступу, потенційно дозволяючи несанкціоновані дії тривати протягом декількох годин [3].
.
В цілому, хоча керовані особистими особами пропонують значні переваги безпеки, вони потребують ретельного управління та моніторингу для зменшення потенційних ризиків.
Цитати:
[1] https://practical365.com/heard-at-tec-mischief-managed-attacking-and-securing-azure-managed-identities/
[2] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identities-faq
[3] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[4] https://www.youtube.com/watch?v=SGP91LUDA3K
[5] https://learn.microsoft.com/en-us/entra/architecture/service-accounts-managed-identities
[6] https://docs.azure.cn/en-us/entra/ididentity/managed-identites-azure-resources/how-manage-user-assigned-managed-identitiestities
[7] https://www.varonis.com/blog/azure-managed-identities
.
[9] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[10] https://www.techtarget.com/searchcloudcomputing/tip/managed-identity-vs-service-princip-for-azure-apps
[11] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/