Å sikre riktig sikkerhet for brukertillitede administrerte identiteter i Azure innebærer flere viktige strategier:
1. Implementere en lagdelt administrasjonsmodell: Forsikre deg om at brukerkontoer bare får tilgang til administrerte identiteter med lignende tillatelser. Unngå å la kontoer på lavere nivå få tilgang til identiteter med høyere privilegier [2].
2. Administrer tillatelser nøye: Vær forsiktig med tillatelsene som er gitt til administrerte identiteter. Regjerig revisjon av disse tillatelsene, spesielt for høyere privilegier. Vurder å lage verktøy for å rapportere tillatelser med høy prioritet tilordnet apper og administrerte identiteter [2].
3. Bruk rollebasert tilgangskontroll (RBAC): Bruk RBAC for å kontrollere hvem som kan tildele eller administrere administrerte identiteter. Dette hjelper til med å forhindre uautorisert tilgang og sikrer at identiteter brukes på riktig måte [3].
4. Overvåk og varsel: Sett opp overvåking og varsling om endringer i administrerte identitetsoppgaver. Dette lar deg raskt svare på uautoriserte oppgaver [3].
5. Følg prinsippet om minst privilegium: Grant administrerte identiteter bare de nødvendige tillatelsene til å utføre oppgavene sine. Unngå å gi unødvendige tillatelser som kan øke sikkerhetsrisikoen hvis identiteten er kompromittert [5].
6. Administrer brukertilordnede identiteter manuelt: Siden brukertilordne identiteter har en uavhengig livssyklus, må du slette dem manuelt når de ikke lenger er nødvendig. Forsikre deg også om at rolleoppdragene blir fjernet etter å ha slettet administrerte identiteter for å unngå å overskride rolleoppdragsgrenser [5] [6].
7. Bruk sikkerhetsgrupper og ressurslåser: Vurder å bruke sikkerhetsgrupper for å redusere antall rolleoppgaver som trengs. Ressurslåser kan også bidra til å forhindre utilsiktet sletting eller modifisering av kritiske ressurser [3].
Sitasjoner:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-Identities-azure-resources/how-manage-user-tiligned-managed-Identities
[2] https://practical365.com/heard-at-tec-mischief-managed-angreping-and-securing-zure- managed-identities/
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[4] https://learn.microsoft.com/en-us/entra/identity/managed-Identities-azure-resources/how-to-configure-Managed-Identities
[5] https://learn.microsoft.com/en-us/entra/identity/managed-Identities-zure-resources/managed-Identity-best-practice-recommendations
[6] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[7] https://www.evolvesecurity.com/blog-posts/securing-zure-managed-Identities
[8] https://docs.azure.cn/en-us/automation/enable-managed-Identity-for-automation