A felhasználó által előállított kezelt identitások felhasználása az Azure-ban számos biztonsági következménye lehet, mind pozitív, mind negatív:
Pozitív biztonsági következmények
1. A hitelesítő adatok kezelésének kiküszöbölése: A felhasználó által megadott kezelt identitások kiküszöbölik a hitelesítő adatok kézi kezelésének szükségességét, csökkentve a hitelesítő adatok szivárgása és az emberi hibák kockázatát. Ez javítja a biztonságot az identitás életciklusának automatikus kezelésével és az Azure Services hitelesítésének egyszerűsítésével [10].
2. Rugalmasság és vezérlés: A felhasználó által előállított kezelt identitások sokkal sokoldalúbbak, mint a rendszer által előállított identitások, mivel több erőforráson keresztül újra felhasználhatók, és nem kapcsolódnak egy adott erőforrás-életciklushoz. Ez lehetővé teszi az identitáskezelés és az engedélyek jobb ellenőrzését [3] [11].
3. engedélyezés és hozzáférés-ellenőrzés: A kezelt identitások integrálhatók az Azure szerep-alapú hozzáférés-vezérléshez (Azure RBAC), hogy meghatározzák az erőforrásokhoz való hozzáférés pontos engedélyeit. Ez biztosítja, hogy az identitások csak a szükséges engedélyekkel rendelkezzenek, csökkentve a túlvágás kockázatát [10].
Negatív biztonsági következmények
1. MIS-Konfigurációs kockázatok: Ha nem megfelelően konfigurálva, a felhasználó által létrehozott kezelt identitások biztonsági problémákhoz vezethetnek. Például a túlzott engedélyek megadása kiváltságok fokozódását eredményezheti, lehetővé téve az érzékeny forrásokhoz való jogosulatlan hozzáférést [1].
2. Perzisztencia és lopakodás: Voltak olyan esetek, amikor a támadók kezelt identitásokat használtak ki az Azure -szolgáltatások fenntartása érdekében. Ez akkor fordulhat elő, ha egy támadó hozzáférést kap az Entra ID tokenhez, amely a kezelt identitáshoz kapcsolódik, lehetővé téve számukra az identitás felismerés nélkül való megszemélyesítését [4].
3. A token frissítése korlátozások: A kezelt személyazonosság engedélyeinek változásai nem léphetnek azonnal hatályba a token gyorsítótárazás miatt. Ez késésekhez vezethet a hozzáférés visszavonásában, potenciálisan lehetővé teszi az illetéktelen tevékenységek több órán át folytatódását [3].
4. A jogosulatlan felhasználás megelőzése: A jogosulatlan használat megelőzéséhez elengedhetetlen a robusztus hozzáférés -ellenőrzések, például az Azure -politika, az RBAC és a kezelt identitási hozzárendelések változásainak megfigyelése [2] [9].
Összességében, míg a felhasználó által előállított kezelt identitások jelentős biztonsági előnyöket kínálnak, gondos irányítást és ellenőrzést igényelnek a lehetséges kockázatok enyhítése érdekében.
Idézetek:
[1] https://practical365.com/heard-at-tec-mischief- managed-tacking-and-securing-azure- managed-identities/
[2] https://learn.microsoft.com/en-us/entra/identity/managed-entities-azure-resources/managed-entities-faq
[3] https://learn.microsoft.com/en-us/entra/identity/managed-entities-azure-resources
[4] https://www.youtube.com/watch?v=sgp91luda3k
[5] https://learn.microsoft.com/en-us/entra/architecture/service-counts-anaged-identities
[6] https://docs.azure.cn/en-us/entra/identity/managed-entities-azure-resources
[7] https://www.varonis.com/blog/azure-anaged-identities
[8] https://help.zerto.com/bundle/install.ma.html.9.5/page/enabling_user_assigned_managed_identities_anding_mandory_permissions_in_azure.htm
[9] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[10] https://www.techtarget.com/searchcloudcomputing/tip/managed-entity-vs-service-principal-for-azure-apps
[11] https://www.redgate.com/simple-talk/cloud/azure/azure-function-and-user-asigned-anaged-identities/