Att säkerställa en korrekt säkerhet för användarnas tilldelade hanterade identiteter i Azure innebär flera viktiga strategier:
1. Implementera en nivåad administrationsmodell: Se till att användarkonton endast kan få åtkomst till hanterade identiteter med liknande behörigheter. Undvik att låta konton på lägre nivå komma åt identiteter med högre privilegier [2].
2. Hantera försiktigt behörigheter: Var försiktig med de behörigheter som beviljats till hanterade identiteter. Granskar regelbundet dessa behörigheter, särskilt för högre privilegier. Överväg att skapa verktyg för att rapportera högprioriterade behörigheter som tilldelats appar och hanterade identiteter [2].
3. Använd rollbaserad åtkomstkontroll (RBAC): Använd RBAC för att kontrollera vem som kan tilldela eller hantera hanterade identiteter. Detta hjälper till att förhindra obehörig åtkomst och säkerställer att identiteter används på lämpligt sätt [3].
4. Monitor och varning: Ställ in övervakning och varning för förändringar i hanterade identitetsuppdrag. Detta gör att du snabbt kan svara på obehöriga uppdrag [3].
5. Följ principen om minst privilegium: Grant hanterade identiteter endast de nödvändiga behörigheterna för att utföra sina uppgifter. Undvik att bevilja onödiga behörigheter som kan öka säkerhetsrisken om identiteten komprometteras [5].
6. Hantera manuellt användarnas tilldelade identiteter: Eftersom användarnas tilldelade identiteter har en oberoende livscykel, radera dem manuellt när de inte längre behövs. Se också till att rolluppdrag tas bort efter att ha tagit bort hanterade identiteter för att undvika överskridande rolltilldelningsgränser [5] [6].
7. Använd säkerhetsgrupper och resurslås: Överväg att använda säkerhetsgrupper för att minska antalet rolluppgifter som behövs. Resurslås kan också hjälpa till att förhindra oavsiktlig radering eller modifiering av kritiska resurser [3].
Citeringar:
]
]
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[4] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-to-configure-noved-identities
]
]
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-managed-identities
[8] https://docs.azure.cn/en-us/automation/enable-nidaged-identity-for-automation