Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Làm thế nào tôi có thể đảm bảo rằng các danh tính được quản lý do người dùng chỉ định được bảo mật


Làm thế nào tôi có thể đảm bảo rằng các danh tính được quản lý do người dùng chỉ định được bảo mật


Đảm bảo bảo mật đúng của danh tính được quản lý do người dùng gán trong Azure liên quan đến một số chiến lược chính:

1. Thực hiện mô hình quản trị theo cấp độ: Đảm bảo rằng tài khoản người dùng chỉ có thể truy cập các danh tính được quản lý có quyền tương tự. Tránh cho phép các tài khoản cấp thấp hơn truy cập danh tính với các đặc quyền cao hơn [2].

2. Quản lý cẩn thận các quyền: Hãy thận trọng với các quyền được cấp cho danh tính được quản lý. Thường xuyên kiểm toán các quyền này, đặc biệt là đối với các đặc quyền cao hơn. Xem xét việc tạo các công cụ để báo cáo các quyền ưu tiên cao được gán cho các ứng dụng và danh tính được quản lý [2].

3. Sử dụng Điều khiển truy cập dựa trên vai trò (RBAC): Sử dụng RBAC để kiểm soát ai có thể gán hoặc quản lý danh tính được quản lý. Điều này giúp ngăn chặn truy cập trái phép và đảm bảo rằng danh tính được sử dụng một cách thích hợp [3].

4. Giám sát và cảnh báo: Thiết lập giám sát và cảnh báo cho các thay đổi trong các bài tập nhận dạng được quản lý. Điều này cho phép bạn nhanh chóng trả lời các bài tập trái phép [3].

5. Thực hiện theo nguyên tắc đặc quyền ít nhất: Chỉ có danh tính được quản lý chỉ các quyền cần thiết để thực hiện các nhiệm vụ của họ. Tránh cấp các quyền không cần thiết có thể làm tăng rủi ro bảo mật nếu danh tính bị xâm phạm [5].

6. Quản lý thủ công danh tính do người dùng gán: Vì danh tính do người dùng gán có vòng đời độc lập, nên xóa chúng theo cách thủ công khi chúng không còn cần thiết. Ngoài ra, đảm bảo rằng việc chuyển nhượng vai trò được xóa sau khi xóa danh tính được quản lý để tránh vượt quá giới hạn gán vai trò [5] [6].

7. Sử dụng các nhóm bảo mật và khóa tài nguyên: Xem xét sử dụng các nhóm bảo mật để giảm số lượng nhiệm vụ cần thiết. Khóa tài nguyên cũng có thể giúp ngăn chặn việc xóa hoặc sửa đổi các tài nguyên quan trọng [3].

Trích dẫn:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-manage-user-assigned-managed-identities
.
.
[4] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-to-configure-managed-identities
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
.
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-managed-identities
[8] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation