Az Azure-ban a felhasználó által előállított kezelt identitások megfelelő biztonságának biztosítása számos kulcsfontosságú stratégiát foglal magában:
1. Végezzen el egy többszintű adminisztrációs modellt: Győződjön meg arról, hogy a felhasználói fiókok csak hasonló engedélyekkel férhetnek hozzá a kezelt identitásokhoz. Kerülje, hogy az alacsonyabb szintű fiókok magasabb jogosultságokkal való hozzáférést biztosítsanak az identitásokhoz [2].
2. Óvatosan kezelje az engedélyeket: Legyen óvatos a kezelt identitásoknak nyújtott engedélyekkel. Rendszeresen ellenőrizze ezeket az engedélyeket, különösen a magasabb jogosultságok esetén. Fontolja meg az eszközök létrehozását az alkalmazásokhoz és a kezelt identitásokhoz rendelt magas prioritású engedélyek bejelentésére [2].
3. Használjon szerepalapú hozzáférés-vezérlést (RBAC): Az RBAC segítségével ellenőrizze, ki hozzárendelheti vagy kezelheti a kezelt identitásokat. Ez elősegíti az illetéktelen hozzáférés megakadályozását és biztosítja az identitások megfelelő használatát [3].
4. Monitor és riasztás: Állítsa be a kezelt személyazonosság -hozzárendelések változásait. Ez lehetővé teszi, hogy gyorsan reagáljon az illetéktelen feladatokra [3].
5. Kövesse a legkevesebb kiváltság elvét: A Grant csak a szükséges engedélyeket kezelte a feladatok elvégzéséhez. Kerülje a felesleges engedélyek megadását, amelyek növelhetik a biztonsági kockázatot, ha az identitás veszélybe kerül [5].
6. A felhasználó által előállított identitások manuálisan kezelése: Mivel a felhasználó által előállított identitások független életciklusúak, manuálisan törölje őket, amikor már nincs szükségük rá. Gondoskodjon arról, hogy a szerepfeladatok eltávolítása után a kezelt identitások törlése után kerüljenek el, hogy elkerüljék a szerepmeghatározási korlátok túllépését [5] [6].
7. Használjon biztonsági csoportokat és erőforrás -zárakat: Fontolja meg a biztonsági csoportok használatát a szükséges szerepfeladatok számának csökkentésére. Az erőforrás -zárak elősegíthetik a kritikus erőforrások véletlen törlését vagy módosítását is [3].
Idézetek:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-entities-azure-resources
[2] https://practical365.com/heard-at-tec-mischief- managed-tacking and securing-azure- managed-identities/
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_others_from_using/
[4] https://learn.microsoft.com/en-us/entra/identity/managed-entities-azure-resources/how-to-configure-anaged-entities
[5] https://learn.microsoft.com/en-us/entra/identity/managed-entities-azure-resources
[6] https://www.redgate.com/simple-talk/cloud/azure/azure-function-and-user-asigned-anaged-entities/
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-anaged-entities
[8] https://docs.azure.cn/en-us/automation/enable-anaged-entity-for-automation