Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon ฉันจะมั่นใจได้อย่างไรว่าข้อมูลประจำตัวที่ได้รับการจัดการที่ผู้ใช้ได้รับการรักษาความปลอดภัยอย่างเหมาะสม


ฉันจะมั่นใจได้อย่างไรว่าข้อมูลประจำตัวที่ได้รับการจัดการที่ผู้ใช้ได้รับการรักษาความปลอดภัยอย่างเหมาะสม


การรับรองความปลอดภัยที่เหมาะสมของอัตลักษณ์ที่ได้รับการจัดการที่ผู้ใช้ใน Azure เกี่ยวข้องกับกลยุทธ์สำคัญหลายประการ:

1. ใช้โมเดลการดูแลระบบแบบชั้น: ตรวจสอบให้แน่ใจว่าบัญชีผู้ใช้สามารถเข้าถึงข้อมูลประจำตัวที่มีการจัดการด้วยสิทธิ์ที่คล้ายกันเท่านั้น หลีกเลี่ยงการอนุญาตให้บัญชีระดับล่างสามารถเข้าถึงตัวตนที่มีสิทธิ์สูงกว่า [2]

2. จัดการการอนุญาตอย่างระมัดระวัง: ระมัดระวังกับการอนุญาตที่มอบให้กับตัวตนที่มีการจัดการ ตรวจสอบสิทธิ์เหล่านี้เป็นประจำโดยเฉพาะอย่างยิ่งสำหรับสิทธิพิเศษที่สูงขึ้น พิจารณาการสร้างเครื่องมือเพื่อรายงานการอนุญาตที่มีลำดับความสำคัญสูงที่กำหนดให้กับแอพและตัวตนที่มีการจัดการ [2]

3. ใช้การควบคุมการเข้าถึงตามบทบาท (RBAC): ใช้ RBAC เพื่อควบคุมผู้ที่สามารถกำหนดหรือจัดการข้อมูลประจำตัวที่มีการจัดการ สิ่งนี้จะช่วยป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตและทำให้มั่นใจว่ามีการใช้ตัวตนอย่างเหมาะสม [3]

4. การตรวจสอบและการแจ้งเตือน: ตั้งค่าการตรวจสอบและแจ้งเตือนสำหรับการเปลี่ยนแปลงการกำหนดตัวตนที่มีการจัดการ สิ่งนี้ช่วยให้คุณสามารถตอบสนองต่อการมอบหมายที่ไม่ได้รับอนุญาตได้อย่างรวดเร็ว [3]

5. ทำตามหลักการของสิทธิพิเศษน้อยที่สุด: มอบอัตลักษณ์ที่มีการจัดการเฉพาะสิทธิ์ที่จำเป็นในการปฏิบัติงานของพวกเขา หลีกเลี่ยงการอนุญาตที่ไม่จำเป็นซึ่งอาจเพิ่มความเสี่ยงด้านความปลอดภัยหากตัวตนถูกบุกรุก [5]

6. จัดการข้อมูลประจำตัวที่ผู้ใช้ซึ่งได้รับมอบหมายด้วยตนเอง: เนื่องจากตัวตนที่ผู้ใช้กำหนดมีวงจรชีวิตอิสระจึงลบด้วยตนเองเมื่อไม่จำเป็นต้องใช้อีกต่อไป นอกจากนี้ตรวจสอบให้แน่ใจว่าการกำหนดบทบาทจะถูกลบออกหลังจากลบตัวตนที่มีการจัดการเพื่อหลีกเลี่ยงการ จำกัด การกำหนดบทบาทที่เกินขีด จำกัด [5] [6]

7. ใช้กลุ่มความปลอดภัยและการล็อคทรัพยากร: พิจารณาใช้กลุ่มความปลอดภัยเพื่อลดจำนวนการกำหนดบทบาทที่จำเป็น การล็อคทรัพยากรยังสามารถช่วยป้องกันการลบโดยไม่ตั้งใจหรือการปรับเปลี่ยนทรัพยากรที่สำคัญ [3]

การอ้างอิง:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-manage-user-igned-managed-entities
[2] https://practical365.com/heard-at-tec-mischief-managed-atacking--socuring-azure-managed-identities/
[3] https://www.reddit.com/r/azure/comments/175ewbq/managed_identity_how_to_prevent_other_from_using/
[4] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/how-to-configure-Managed-identities
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[6] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[7] https://www.evolvesecurity.com/blog-posts/securing-azure-managed-identities
[8] https://docs.azure.cn/en-us/automation/enable-managed-identity-for-automation