Zagotavljanje ustrezne varnosti upravljanih identitet, dodeljenih uporabnikom v Azure, vključuje več ključnih strategij:
1. Izvedite večplastni model administracije: Zagotovite, da lahko uporabniški računi dostopajo le do upravljanih identitet s podobnimi dovoljenji. Izogibajte se, da bi računi na nižji ravni omogočili dostop do identitet z višjimi privilegiji [2].
2. Previdno upravljajte dovoljenja: Bodite previdni z dovoljenji, dodeljenimi za upravljane identitete. Redno revizijo teh dovoljenj, zlasti za višje privilegije. Razmislite o ustvarjanju orodij za poročanje o visokih prioritetnih dovoljenjih, dodeljenih aplikacijam in upravljane identitete [2].
3. Uporaba nadzora dostopa, ki temelji na vlogah (RBAC): uporabite RBAC za nadzor, kdo lahko dodeli ali upravlja z upravljano identiteto. To pomaga preprečiti nepooblaščen dostop in zagotavlja, da se identitete ustrezno uporabljajo [3].
4. Monitor in opozorilo: Nastavite spremljanje in opozorilo za spremembe v upravljanih identitetnih nalogah. To vam omogoča, da se hitro odzovete na nepooblaščene naloge [3].
5. Sledite načelu najmanj privilegij: donacija je upravljala le potrebna dovoljenja za opravljanje svojih nalog. Izogibajte se dodelitvi nepotrebnih dovoljenj, ki bi lahko povečali varnostno tveganje, če je identiteta ogrožena [5].
6. Ročno upravljajte z uporabniško dodeljenimi identitetami: Ker imajo uporabniško dodeljene identitete neodvisen življenjski cikel, jih ročno izbrišite, kadar jih ni več potrebno. Prav tako zagotovite, da se dodelitve vlog odstranijo po brisanju upravljanih identitet, da se izognete preseganju omejitev dodelitve vlog [5] [6].
7. Uporabite varnostne skupine in ključavnice za vire: Razmislite o uporabi varnostnih skupin, da zmanjšate število potrebnih vlog. Ključavnice virov lahko pomagajo tudi pri preprečevanju naključnega brisanja ali spreminjanja kritičnih virov [3].
Navedbe:
[1] https://learn.microsoft.com/en-us/entra/identy/managed-identity-azure-resources/how-manage-user-assigned-managed-identes
[2] https://practical365.com/heard-t-tec-mischief-managed-attacking-and-securing-azure-managed-identitys/
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_identy_how_to_prevent_others_from_using/
[4] https://learn.microsoft.com/en-us/entra/identy/managed-identity-azure-resources/how-to-configure-managed-identes
[5] https://learn.microsoft.com/en-us/entra/identy/managed-identity-azure-resources/managed-identity-best-practice-reComventions
[6] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identes/
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-managed-identes
[8] https://docs.azure.cn/en-us/automation/enable-managed-identy-for-automation