Nodrošināt, ka Azure ir paredzēta pareiza lietotāja pieņemtu pārvaldītu identitāšu drošība, ir saistītas ar vairākām galvenajām stratēģijām:
1. Ieviesiet daudzpakāpju administrēšanas modeli: pārliecinieties, ka lietotāju konti var piekļūt pārvaldītajām identitātēm tikai ar līdzīgām atļaujām. Izvairieties no zemāka līmeņa kontiem piekļūt identitātei ar lielākām privilēģijām [2].
2. Rūpīgi pārvaldiet atļaujas: Esiet piesardzīgs ar atļaujām, kas piešķirtas pārvaldītajai identitātei. Regulāri revidējiet šīs atļaujas, it īpaši augstākām privilēģijām. Apsveriet iespēju izveidot rīkus, lai ziņotu par augstas prioritātes atļaujām, kas piešķirtas lietotnēm un pārvaldītajām identitātēm [2].
3. Izmantojiet uz lomu balstītu piekļuves kontroli (RBAC): izmantojiet RBAC, lai kontrolētu, kurš var piešķirt vai pārvaldīt pārvaldītās identitātes. Tas palīdz novērst neatļautu piekļuvi un nodrošina, ka identitātes tiek izmantotas atbilstoši [3].
4. Monitors un brīdinājums: iestatiet uzraudzību un brīdināt izmaiņas pārvaldītajos identitātes uzdevumos. Tas ļauj ātri reaģēt uz neatļautiem uzdevumiem [3].
5. Izpildiet vismazāko privilēģiju principu: piešķirot pārvaldītās identitātes tikai nepieciešamās atļaujas, lai veiktu savus uzdevumus. Izvairieties no nevajadzīgu atļauju piešķiršanas, kas varētu palielināt drošības risku, ja identitāte tiek apdraudēta [5].
6. Manuāli pārvaldīt lietotāju piešķirtās identitātes: tā kā lietotājam piešķirtajām identitātēm ir neatkarīgs dzīves cikls, manuāli tos izdzēst, kad tās vairs nav vajadzīgas. Pārliecinieties arī, ka lomu uzdevumi tiek noņemti pēc pārvaldītas identitātes dzēšanas, lai izvairītos no lomu piešķiršanas ierobežojumu pārsniegšanas [5] [6].
7. Izmantojiet drošības grupas un resursu slēdzenes: apsveriet iespēju izmantot drošības grupas, lai samazinātu nepieciešamo lomu uzdevumu skaitu. Resursu slēdzenes var arī palīdzēt novērst nejaušu kritisko resursu izdzēšanu vai modifikāciju [3].
Atsauces:
[1.]
.
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
.
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-pracice-receptionations
[6.]
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-managed-identities
[8] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation