Memastikan keamanan yang tepat dari identitas yang dikelola pengguna yang ditugaskan di Azure melibatkan beberapa strategi utama:
1. Menerapkan model administrasi berjenjang: Pastikan akun pengguna hanya dapat mengakses identitas yang dikelola dengan izin yang sama. Hindari memungkinkan akun tingkat bawah untuk mengakses identitas dengan hak istimewa yang lebih tinggi [2].
2. Kelola izin dengan cermat: Berhati -hatilah dengan izin yang diberikan kepada identitas yang dikelola. Audit secara teratur izin ini, terutama untuk hak istimewa yang lebih tinggi. Pertimbangkan untuk membuat alat untuk melaporkan izin prioritas tinggi yang ditugaskan untuk aplikasi dan identitas yang dikelola [2].
3. Gunakan Kontrol Akses Berbasis Peran (RBAC): Gunakan RBAC untuk mengontrol siapa yang dapat menetapkan atau mengelola identitas yang dikelola. Ini membantu mencegah akses yang tidak sah dan memastikan bahwa identitas digunakan dengan tepat [3].
4. Monitor dan Peringatan: Mengatur pemantauan dan peringatan untuk perubahan dalam penugasan identitas yang dikelola. Ini memungkinkan Anda untuk dengan cepat menanggapi tugas yang tidak sah [3].
5. Ikuti prinsip hak istimewa paling tidak: hibah yang dikelola identitas hanya izin yang diperlukan untuk melakukan tugas mereka. Hindari pemberian izin yang tidak perlu yang dapat meningkatkan risiko keamanan jika identitas dikompromikan [5].
6. Mengelola identitas yang ditugaskan pengguna secara manual: karena identitas yang ditugaskan pengguna memiliki siklus hidup yang independen, hapus secara manual ketika mereka tidak lagi diperlukan. Juga, pastikan bahwa penugasan peran dihapus setelah menghapus identitas yang dikelola untuk menghindari melebihi batas penugasan peran [5] [6].
7. Gunakan Grup Keamanan dan Kunci Sumber Daya: Pertimbangkan untuk menggunakan grup keamanan untuk mengurangi jumlah penugasan peran yang diperlukan. Kunci sumber daya juga dapat membantu mencegah penghapusan yang tidak disengaja atau modifikasi sumber daya kritis [3].
Kutipan:
[1.
[2] https://practical365.com/heard-at-tec-mischief-anagaged-tacking-and-securing-azure-anagaged-identities/
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[4] https://learn.microsoft.com/en-us/entra/identity/Managed-identities-azure-resources/how-to-configure-managed-identities
[5] https://learn.microsoft.com/en-us/entra/identity/Managed-identities-azure-resources/Managed-identity-best-practice-recommendations
[6] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-masgned-anagaged-identities/
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-anagaged-identities
[8] https://docs.azure.cn/en-us/automation/enable-anaged-identity-for-automation