Garantir a segurança adequada das identidades gerenciadas atribuídas ao usuário no Azure envolve várias estratégias importantes:
1. Implemente um modelo de administração em camadas: verifique se as contas de usuário podem acessar apenas identidades gerenciadas com permissões semelhantes. Evite permitir que contas de nível inferior acessem identidades com privilégios mais altos [2].
2. Gerencie cuidadosamente as permissões: seja cauteloso com as permissões concedidas às identidades gerenciadas. Audite regularmente essas permissões, especialmente para privilégios mais altos. Considere a criação de ferramentas para relatar permissões de alta prioridade atribuídas a aplicativos e identidades gerenciadas [2].
3. Use Controle de Acesso baseado em função (RBAC): use o RBAC para controlar quem pode atribuir ou gerenciar identidades gerenciadas. Isso ajuda a impedir o acesso não autorizado e garante que as identidades sejam usadas adequadamente [3].
4. Monitor e alerta: Configure o monitoramento e o alerta para alterações nas atribuições de identidade gerenciadas. Isso permite que você responda rapidamente a tarefas não autorizadas [3].
5. Siga o princípio do menor privilégio: Grant gerenciou identidades apenas as permissões necessárias para executar suas tarefas. Evite conceder permissões desnecessárias que possam aumentar o risco de segurança se a identidade for comprometida [5].
6. Gerencie manualmente as identidades atribuídas ao usuário: como as identidades atribuídas ao usuário têm um ciclo de vida independente, excluí-las manualmente quando não forem mais necessárias. Além disso, verifique se as atribuições de função são removidas após a exclusão de identidades gerenciadas para evitar os limites de atribuição de função excedentes [5] [6].
7. Use grupos de segurança e bloqueios de recursos: considere o uso de grupos de segurança para reduzir o número de atribuições de função necessárias. Os bloqueios de recursos também podem ajudar a evitar a exclusão ou modificação acidental de recursos críticos [3].
Citações:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-manage-user-signed-managed-sidentities
[2] https://pracical365.com/heard-at-tec-mischief-managed-attacking-and-securing-azure-managed-identities/
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[4] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-to-configure-managed-identities
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-entity-best-practice-recommendations
[6] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-sassigned-anaged-identities/
[7] https://www.evolvesecurity.com/blogposss/securing-azure-managed-identities
[8] https://docs.azure.cn/en-us/automation/enable-managed-entity-for-automation