Zajištění správného zabezpečení spravované identity přiřazené uživatelem v Azure zahrnuje několik klíčových strategií:
1. Implementujte model odstupňované administrace: Zajistěte, aby uživatelské účty mohly přistupovat pouze k spravované identitě s podobnými oprávněními. Vyvarujte se umožnění účtů na nižší úrovni přístup k identitám s vyššími oprávněními [2].
2. Pečlivě spravujte oprávnění: Buďte opatrní s povoleními poskytnutými na spravované identity. Pravidelně auditujte tato oprávnění, zejména pro vyšší privilegia. Zvažte vytvoření nástrojů pro hlášení oprávnění s vysokou prioritou přiřazená k aplikacím a spravované identitě [2].
3. Použijte kontrolu přístupu založeného na rolích (RBAC): Použijte RBAC k řízení, kdo může přiřadit nebo spravovat spravovanou identitu. To pomáhá předcházet neautorizovanému přístupu a zajišťuje, že identity jsou vhodně používány [3].
4. Monitoru a upozornění: Nastavte monitorování a upozornění na změny v přiřazení spravované identity. To vám umožní rychle reagovat na neoprávněné úkoly [3].
5. Sledujte princip nejméně privilegií: Grant spravoval identitu pouze nezbytná oprávnění k plnění svých úkolů. Vyvarujte se udělení zbytečných oprávnění, která by mohla zvýšit bezpečnostní riziko, pokud by byla ohrožena identita [5].
6. Ručně spravovat identity přiřazené uživatelem: Protože identity přiřazené uživatelem mají nezávislý životní cyklus, ručně je odstraňte, když již nejsou potřeba. Rovněž se ujistěte, že přiřazení rolí bude odstraněno po odstranění spravované identity, aby se zabránilo překročení limitů přiřazování rolí [5] [6].
7. Použijte skupiny zabezpečení a zámky zdrojů: Zvažte použití skupin zabezpečení ke snížení počtu potřebných přiřazení rolí. Zámky zdrojů mohou také pomoci zabránit náhodnému vymazání nebo úpravě kritických zdrojů [3].
Citace:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-ramage-user-Assigned-Managed-Identity
[2] https://practical365.com/heard-at-tec-mischief-aged-Actacking and Securing-Azure-Managed-identity/
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_athers_from_using/
[4] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-to-configure-anaged-identity
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-Pest-Practice-Recomimendations
[6] https://www.red-gate.com/Simple-Talk/Cloud/azure/azure-function-and-user-Assigned-anaged-identities/
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-anaged-identity
[8] https://docs.azure.cn/en-us/automation/enable-amaged-identity-for-automation