Tinkamo vartotojo paskirtos valdomų tapatybių saugumo užtikrinimas „Azure“ apima keletą pagrindinių strategijų:
1. Įdiekite pakopinį administravimo modelį: Įsitikinkite, kad vartotojo sąskaitos gali pasiekti valdomas tapatybes tik su panašiais leidimais. Venkite leisti žemesnio lygio paskyroms pasiekti tapatybes su didesnėmis privilegijomis [2].
2. Atidžiai tvarkykite leidimus: būkite atsargūs dėl leidimų, suteiktų valdomoms tapatybėms. Reguliariai tikrinkite šiuos leidimus, ypač dėl aukštesnių privilegijų. Apsvarstykite galimybę sukurti įrankius, kaip pranešti apie aukšto prioriteto leidimus, priskirtus programoms ir valdomoms tapatybėms [2].
3. Naudokite vaidmenimis pagrįstą prieigos valdymą (RBAC): naudokite RBAC norėdami valdyti, kas gali priskirti ar valdyti valdomas tapatybes. Tai padeda išvengti neteisėtos prieigos ir užtikrina, kad tapatybės būtų tinkamai naudojamos [3].
4. Monitorius ir įspėjimas: nustatykite stebėjimą ir įspėjimą apie valdomų tapatybės priskyrimų pakeitimus. Tai leidžia greitai reaguoti į neteisėtas užduotis [3].
5. Vykdykite mažiausiai privilegijos principą: dotacijos valdomos tapatybės tik būtini leidimai atlikti užduotis. Venkite suteikti nereikalingų leidimų, kurie galėtų padidinti saugumo riziką, jei tapatumas bus pažeistas [5].
6. Rankiniu būdu valdykite vartotojo paskirtas tapatybes: kadangi vartotojo paskirtos tapatybės turi nepriklausomą gyvenimo ciklą, rankiniu būdu ištrinkite juos, kai jų nebereikia. Taip pat įsitikinkite, kad vaidmenų priskyrimai pašalinami ištrynus valdomas tapatybes, kad būtų išvengta viršijančių vaidmenų priskyrimo ribų [5] [6].
7. Naudokite saugos grupes ir šaltinių spynos: apsvarstykite galimybę naudoti saugos grupes, kad sumažintumėte reikalingų vaidmenų priskyrimų skaičių. Išteklių spynos taip pat gali padėti išvengti atsitiktinio ištrynimo ar kritinių išteklių pakeitimo [3].
Citatos:
[1] https://learn.microsoft.com/en-us/Entra/identity/Managed-dentitity-azure-resources/how-manage-user-aSsigned-langeaged-entity
[2] https://practical365.com/heard-at-tec-hischief-shithed-attacking ir-securing-azure-hanged-didtities/
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_thers_from_using/
[4] https://learn.microsoft.com/en-us/Entra/identity/Managed-dentitity-azure-resources/how-to-to-configure-sandorage-didtities
[5] https://learn.microsoft.com/en-us/entra/identity/managed-dentitity-azure-resources/managed-dentity-best-praktice-recomendations
[6] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-eSsigned-langed-didtities/
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-toraged-dentials
[8] https://docs.azure.cn/en-us/automation/enable-Managed-dentity-for-automation