Zabezpečenie správneho zabezpečenia riadených identity pridelených používateľmi v Azure zahŕňa niekoľko kľúčových stratégií:
1. Implementujte administratívny model odstupňovaného: Uistite sa, že používateľské účty môžu mať prístup iba s riadenými identitami s podobnými povoleniami. Vyhnite sa umožneniu účtov na nižšej úrovni prístup k totožnosti s vyššími privilégiami [2].
2. Opatrne spravujte povolenia: Buďte opatrní s povoleniami udelenými spravovaným totožnosťou. Pravidelne audit tieto povolenia, najmä pre vyššie privilégiá. Zvážte vytvorenie nástrojov na hlásenie povolení vysokej priority priradené aplikáciám a spravovaným identitám [2].
3. Použite riadenie prístupu založeného na úlohe (RBAC): Použite RBAC na kontrolu, kto môže priradiť alebo spravovať spravované identity. To pomáha predchádzať neoprávnenému prístupu a zaisťuje, že sa identity používajú primerane [3].
4. Monitor a upozornenie: Nastavte monitorovanie a varovanie na zmeny v priradeniach riadenej identity. To vám umožní rýchlo reagovať na neoprávnené úlohy [3].
5. Postupujte podľa zásady najmenších privilégií: Grant spravované identity iba potrebné povolenia na vykonávanie svojich úloh. Vyhnite sa udeľovaniu nepotrebných povolení, ktoré by mohli zvýšiť bezpečnostné riziko, ak je identita ohrozená [5].
6. Ručne spravujte identity pridelené používateľom: Keďže identity pridelené používateľom majú nezávislý životný cyklus, ručne ich odstráňte, keď už nie sú potrebné. Uistite sa tiež, že po odstránení riadených identity sa priradenia rolí odstránia, aby sa predišlo prekročeniu limitov prideľovania rolí [5] [6].
7. Používajte bezpečnostné skupiny a zámky zdrojov: Zvážte použitie bezpečnostných skupín na zníženie počtu potrebných úloh. Zámky zdrojov môžu tiež pomôcť zabrániť náhodnému vymazaniu alebo úpravám kritických zdrojov [3].
Citácie:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identies-azure-resources/how-manage-user-user-signed-maned-identities
[2] https://practical365.com/heard-at---ec-mischief-managed-attacking-s-secucing-azure-managed-identities/
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[4] https://learn.microsoft.com/en-us/entra/identity/managed-identies-azure-resources/how-to-configure-managed-identities
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identies-azure-resources/Managed-identity-best-practice-cordmencations
[6] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-managed-identities
[8] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation