Sử dụng danh tính được quản lý do người dùng chỉ định trong Azure có thể có một số hàm ý bảo mật, cả tích cực và tiêu cực:
Ý nghĩa bảo mật tích cực
1. Loại bỏ quản lý thông tin xác thực: Danh tính được quản lý do người dùng chỉ định loại bỏ sự cần thiết phải quản lý thủ công thông tin xác thực, giảm nguy cơ rò rỉ thông tin và lỗi của con người. Điều này tăng cường bảo mật bằng cách tự động xử lý vòng đời nhận dạng và đơn giản hóa xác thực cho các dịch vụ Azure [10].
2. Tính linh hoạt và kiểm soát: Danh tính được quản lý do người dùng chỉ định linh hoạt hơn các danh tính được chỉ định hệ thống, vì chúng có thể được sử dụng lại trên nhiều tài nguyên và không được gắn với vòng đời tài nguyên cụ thể. Điều này cho phép kiểm soát tốt hơn quản lý danh tính và quyền [3] [11].
3. Điều này đảm bảo rằng danh tính chỉ có các quyền cần thiết, làm giảm nguy cơ đặc quyền quá mức [10].
Ý nghĩa bảo mật tiêu cực
1. Rủi ro cấu hình sai: Nếu không được cấu hình đúng, danh tính được quản lý do người dùng chỉ định có thể dẫn đến các vấn đề bảo mật. Ví dụ, việc cấp các quyền quá mức có thể dẫn đến việc leo thang đặc quyền, cho phép truy cập trái phép vào các tài nguyên nhạy cảm [1].
2. Sự kiên trì và tàng hình: Đã có những trường hợp những kẻ tấn công đã khai thác danh tính được quản lý để duy trì sự kiên trì trong các dịch vụ của Azure. Điều này có thể xảy ra nếu kẻ tấn công có quyền truy cập vào mã thông báo id id liên quan đến danh tính được quản lý, cho phép chúng mạo danh danh tính mà không bị phát hiện [4].
3. Giới hạn làm mới mã thông báo: Thay đổi các quyền của danh tính được quản lý có thể không có hiệu lực ngay lập tức do bộ nhớ đệm mã thông báo. Điều này có thể dẫn đến sự chậm trễ trong việc thu hồi quyền truy cập, có khả năng cho phép các hành động trái phép tiếp tục trong vài giờ [3].
4. Ngăn ngừa sử dụng trái phép: Để ngăn chặn việc sử dụng trái phép, điều quan trọng là phải thực hiện các kiểm soát truy cập mạnh mẽ, như chính sách Azure, RBAC và giám sát các thay đổi trong phân công nhận dạng được quản lý [2] [9].
Nhìn chung, trong khi danh tính được quản lý do người dùng chỉ định mang lại lợi ích bảo mật đáng kể, họ yêu cầu quản lý và giám sát cẩn thận để giảm thiểu rủi ro tiềm ẩn.
Trích dẫn:
.
[2] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identities-faq
[3] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[4] https://www.youtube.com/watch?v=SGP91Luda3k
[5] https://learn.microsoft.com/en-us/entra/architecture/service-accounts-managed-identities
[6] https://docs.azure.cn/en-us/entra/identity/managed-identities-azure-resources/how-manage-user-assigned-managed-identities
[7] https://www.varonis.com/blog/azure-managed-identities
[8] https://help.zerto.com/bundle/Install.MA.HTML.9.5/page/Enabling_User_Assigned_Managed_Identities_and_Setting_Mandatory_Permissions_in_Azure.htm
[9] https://www.reddit.com/r/azure/comments/175EWBQ
[10] https://www.techtarget.com/searchcloudcomputing/tip/Managed-identity-vs-service-principal-for-Azure-apps
.