Azure'da kullanıcı atanan yönetilen kimlikleri kullanmanın hem olumlu hem de olumsuz çeşitli güvenlik etkileri olabilir:
Pozitif Güvenlik Sonuçları
1. Kimlik Bilgisi Yönetiminin Ortadan Kaldırılması: Kullanıcı tarafından atanan yönetilen kimlikler, kimlik bilgilerini manuel olarak yönetme ihtiyacını ortadan kaldırarak kimlik bilgisi sızıntıları ve insan hatası riskini azaltır. Bu, kimlik yaşam döngüsünü otomatik olarak ele alarak ve Azure hizmetleri için kimlik doğrulamasını basitleştirerek güvenliği artırır [10].
2. Esneklik ve kontrol: Kullanıcı tarafından atanan yönetilen kimlikler, birden fazla kaynakta yeniden kullanılabilecekleri ve belirli bir kaynak yaşam döngüsüne bağlı olmadığı için sistem atanmış kimliklerden daha çok yönlüdür. Bu, kimlik yönetimi ve izinler üzerinde daha iyi kontrol sağlar [3] [11].
3. Yetkilendirme ve Erişim Kontrolü: Yönetilen kimlikler, kaynaklara erişim için kesin izinleri tanımlamak için Azure Rol Tabanlı Erişim Kontrolü (Azure RBAC) ile entegre edilebilir. Bu, kimliklerin sadece gerekli izinlere sahip olmasını sağlar ve aşırı uygulama riskini azaltır [10].
Olumsuz Güvenlik Sonuçları
1. Yanlış yapılandırma riskleri: Düzgün yapılandırılmamışsa, kullanıcı tarafından atanan yönetilen kimlikler güvenlik sorunlarına yol açabilir. Örneğin, aşırı izinlerin verilmesi, hassas kaynaklara yetkisiz erişime izin vererek ayrıcalık artışına neden olabilir [1].
2. Kalıcılık ve Stealth: Azure hizmetlerinde devam etmek için saldırganların yönetilen kimliklerden yararlandığı durumlar olmuştur. Bu, bir saldırgan, yönetilen bir kimlikle ilişkili entra kimlik belirtecine erişim kazanırsa ve kimliği tespit etmeden taklit etmelerini sağlarsa ortaya çıkabilir [4].
3. Jeton Yenileme Sınırlamaları: Yönetilen bir kimliğin izinlerindeki değişiklikler, belirteç önbellekleme nedeniyle hemen yürürlüğe girmeyebilir. Bu, erişimin iptal edilmesinde gecikmelere yol açabilir ve potansiyel olarak yetkisiz eylemlerin birkaç saat devam etmesine izin verebilir [3].
4. Yetkisiz kullanımın önlenmesi: Yetkisiz kullanımı önlemek için, Azure politikası, RBAC ve yönetilen kimlik atamalarındaki değişikliklerin izlenmesi gibi sağlam erişim kontrollerinin uygulanması çok önemlidir [2] [9].
Genel olarak, kullanıcı tarafından atanan yönetilen kimlikler önemli güvenlik avantajları sunarken, potansiyel riskleri azaltmak için dikkatli yönetim ve izleme gerektirirler.
Alıntılar:
[1] https://practical365.com/heard-at-tec-mischief-managed-tacking-and-securing-azure-managed-endentises/
[2] https://learn.microsoft.com/en-us/entra/identity/managed-enties-soure-resources/managed-entiesities-faq
[3] https://learn.microsoft.com/en-us/entra/identity/managed-enties-sure-resources/managed-enticity-best-practice-recommendations
[4] https://www.youtube.com/watch?v=sgp91luda3k
[5] https://learn.microsoft.com/en-us/entra/architecture/service-accounts-managed-endentises
[6] https://docs.azure.cn/en-us/entra/identity/managed-enties-süre-resources/how-manage-user-assign-managed-riectity
[7] https://www.varonis.com/blog/azure-managed-endentes
[8] https://help.zerto.com/bundle/install.ma.html.9.5/page/enabling_user_assigned_managed_dendentities_and_setting_mandatory_permissions_in_azure.htm
[9] https://www.reddit.com/r/azure/comments/175ewbq/Managed_Identity_how_to_prevent_others_from_using/
[10] https://www.techtarget.com/searchcloudComputing/TIP/Managed-ridenity-vs-service-principal-for-aZure-Apps
[11] https://www.red-gate.com/simple-talk/cloud/azure/azure-fonction-and-says-ssigned-anned-ridentities/