Garantire la corretta sicurezza delle identità gestite assegnate dagli utenti in Azure comporta diverse strategie chiave:
1. Implementare un modello di amministrazione a più livelli: assicurarsi che gli account utente possano accedere solo alle identità gestite con autorizzazioni simili. Evitare di consentire agli account di livello inferiore di accedere alle identità con privilegi più elevati [2].
2. Gestisci attentamente le autorizzazioni: sii cauto con le autorizzazioni concesse alle identità gestite. Controlla regolarmente queste autorizzazioni, specialmente per privilegi più elevati. Prendi in considerazione la creazione di strumenti per segnalare autorizzazioni ad alta priorità assegnate ad app e identità gestite [2].
3. Usa il controllo di accesso basato su ruolo (RBAC): utilizzare RBAC per controllare chi può assegnare o gestire le identità gestite. Ciò aiuta a prevenire l'accesso non autorizzato e garantisce che le identità siano utilizzate in modo appropriato [3].
4. Monitoraggio e avviso: impostare il monitoraggio e l'allerta per le modifiche nelle assegnazioni di identità gestite. Ciò consente di rispondere rapidamente a incarichi non autorizzati [3].
5. Seguire il principio del minimo privilegio: concedere identità gestite solo le autorizzazioni necessarie per svolgere i loro compiti. Evita di concedere autorizzazioni non necessarie che potrebbero aumentare il rischio di sicurezza se l'identità è compromessa [5].
6. Gestire manualmente le identità assegnate agli utenti: poiché le identità assegnate dall'utente hanno un ciclo di vita indipendente, eliminali manualmente quando non sono più necessarie. Inoltre, assicurarsi che gli incarichi di ruolo vengano rimossi dopo l'eliminazione delle identità gestite per evitare il superamento dei limiti di assegnazione del ruolo [5] [6].
7. Utilizzare gruppi di sicurezza e blocchi di risorse: prendi in considerazione l'uso di gruppi di sicurezza per ridurre il numero di assegnazioni di ruolo necessarie. I blocchi delle risorse possono anche aiutare a prevenire la cancellazione accidentale o la modifica delle risorse critiche [3].
Citazioni:
[1] https://learn.microsoft.com/en-us/entra/identaty/managed-identitities-azure-resources/how-manage-user-assigned-managed-identities
5
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_idental_how_to_prevent_others_from_using/
[4] https://learn.microsoft.com/en-us/entra/identaty/managed-identities-azure-resources/how-to-configure-managed-irties
[5] https://learn.microsoft.com/en-us/entra/identaty/managed-identities-azure-resources/managed-identity-best-practice-reCommedations
[6] https://www.red-bate.com/simple-lalk/cloud/azure/azure-function-and-user-assiged-managed-identities/
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-managed-irties
[8] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation