Zapewnienie właściwego bezpieczeństwa przypisywanych użytkownikom tożsamości zarządzanych na Azure obejmuje kilka kluczowych strategii:
1. Wdrożenie wielopoziomowego modelu administracyjnego: Upewnij się, że konta użytkowników mogą uzyskać dostęp tylko do tożsamości zarządzanych o podobnych uprawnieniach. Unikaj zezwalania na kontach niższego poziomu dostępu do tożsamości z wyższymi uprawnieniami [2].
2. Ostrożnie zarządzaj uprawnieniami: zachowaj ostrożność dzięki uprawnieniu przyznanym tożsamościom zarządzanym. Regularnie audytuj te uprawnienia, szczególnie w przypadku wyższych przywilejów. Rozważ tworzenie narzędzi do zgłaszania uprawnień o wysokim priorytecie przypisanym do aplikacji i zarządzanych tożsamości [2].
3. Użyj kontroli dostępu opartego na roli (RBAC): Użyj RBAC do kontrolowania, kto może przypisać lub zarządzać zarządzanymi tożsamościami. Pomaga to zapobiec nieautoryzowanemu dostępowi i zapewnia, że tożsamości są odpowiednio stosowane [3].
4. Monitorowanie i alert: Skonfiguruj monitorowanie i ostrzeganie o zmianach w zarządzanych przypisaniach tożsamości. Pozwala to szybko odpowiedzieć na nieautoryzowane zadania [3].
5. Postępuj zgodnie z zasadą najmniejszych przywilejów: Grant zarządzał tożsamościami jedynie niezbędnymi uprawnieniami do wykonywania swoich zadań. Unikaj przyznania niepotrzebnych uprawnień, które mogą zwiększyć ryzyko bezpieczeństwa, jeśli tożsamość zostanie naruszona [5].
6. Ręcznie zarządzaj tożsamościami przypisywanymi przez użytkownika: Ponieważ tożsamości przypisane przez użytkownika mają niezależny cykl życia, ręcznie usuń je, gdy nie są już potrzebne. Upewnij się również, że przypisania ról są usuwane po usunięciu zarządzanych tożsamości, aby uniknąć przekroczenia limitów przypisania ról [5] [6].
7. Użyj grup bezpieczeństwa i zamków zasobów: rozważ użycie grup bezpieczeństwa, aby zmniejszyć liczbę potrzebnych zadań. Zamki zasobów mogą również pomóc w zapobieganiu przypadkowym usunięciu lub modyfikacji zasobów krytycznych [3].
Cytaty:
[1] https://learn.microsoft.com/en-us/entra/identity/Managed-identities-azure-resources/how-manage-user-assigned-managed-identities
[2] https://practical365.com/heard-at-tec-mischief-anemanaged-attacking-andseCuring-azure-Managed-identities/
[3] https://www.reddit.com/r/azure/comments/175ewbq/Managed_Identity_How_to_Prevent_others_from_using/
[4] https://learn.microsoft.com/en-us/entra/identity/Managed-identities-azure-resources/how-to-configure-managed-entitesities
[5] https://learn.microsoft.com/en-us/entra/identity/Managed-identities-azure-resources/Managed-identity-best-practice-recommendations
[6] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-managed-identities
[8] https://docs.azure.cn/en-us/automation/enable-ananaged-identity-for-automation