Die Sicherstellung der ordnungsgemäßen Sicherheit der benutzerdefinierten verwalteten Identitäten in Azure beinhaltet mehrere Schlüsselstrategien:
1. Implementieren Sie ein abgestuftes Verwaltungsmodell: Stellen Sie sicher, dass Benutzerkonten nur mit ähnlichen Berechtigungen auf verwaltete Identitäten zugreifen können. Vermeiden Sie es, mit höheren Berechtigungen auf Identitäten auf niedrigere Konten zuzugreifen [2].
2. Sorgfältig verwalten Berechtigungen: Seien Sie vorsichtig mit den Berechtigungen, die den verwalteten Identitäten erteilt haben. Prüfen Sie diese Berechtigungen regelmäßig, insbesondere für höhere Privilegien. Erwägen Sie, Tools zu erstellen, um Berechtigungen mit hoher Priorität zu melden, die Apps und verwalteten Identitäten zugewiesen sind [2].
3.. Verwenden Sie eine rollenbasierte Zugriffskontrolle (RBAC): Verwenden Sie RBAC, um zu steuern, wer verwaltete Identitäten zuweisen oder verwalten kann. Dies hilft, einen unbefugten Zugang zu verhindern und stellt sicher, dass Identitäten angemessen verwendet werden [3].
4. Monitor und Alarm: Richten Sie die Überwachung und Alarmierung von Änderungen der verwalteten Identitätszuordnungen ein. Auf diese Weise können Sie schnell auf nicht autorisierte Aufgaben reagieren [3].
5. Befolgen Sie das Prinzip des geringsten Privilegs: Grant Managed Identitäten nur die erforderlichen Berechtigungen, um ihre Aufgaben auszuführen. Vermeiden Sie es, unnötige Berechtigungen zu erteilen, die das Sicherheitsrisiko erhöhen könnten, wenn die Identität beeinträchtigt wird [5].
6. Manuell verwalten benutzerdefinierte Identitäten: Da benutzerdefinierte Identitäten einen unabhängigen Lebenszyklus haben, löschen Sie sie manuell, wenn sie nicht mehr benötigt werden. Stellen Sie außerdem sicher, dass die Rollenzuordnungen nach dem Löschen der verwalteten Identitäten entfernt werden, um die Überschreitung von Rollenzuordnungsgrenzen zu vermeiden [5] [6].
7. Verwenden Sie Sicherheitsgruppen und Ressourcensperrungen: Verwenden Sie Sicherheitsgruppen, um die Anzahl der erforderlichen Rollenzuweisungen zu verringern. Ressourcenschlösser können auch dazu beitragen, eine versehentliche Löschung oder Änderung kritischer Ressourcen zu verhindern [3].
Zitate:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-manage-user-ssigned-managed-identitys
[2] https://practical365.com/heard-at-tec-mischief-managed-attacking--Securing-azure-managed-identities/
[3] https://www.reddit.com/r/azure/comments/175ewbq/Managed_identity_how_to_prevent_others_from_using/
[4] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-to-configure-managed-identities
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[6] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-nction-us-ntation-ssigned-managed-identities/
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-managed-identitys
[8] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation
