Azure'da kullanıcı atanan yönetilen kimliklerin uygun güvenliğinin sağlanması birkaç temel strateji içerir:
1. Katmanlı bir yönetim modeli uygulayın: Kullanıcı hesaplarının yalnızca benzer izinlerle yönetilen kimliklere erişebileceğinden emin olun. Daha düşük seviyeli hesapların daha yüksek ayrıcalıklara sahip kimliklere erişmesine izin vermekten kaçının [2].
2. İzinleri dikkatlice yönetin: Yönetilen kimliklere verilen izinler konusunda dikkatli olun. Bu izinleri, özellikle daha yüksek ayrıcalıklar için düzenli olarak denetleyin. Uygulamalara ve yönetilen kimliklere atanan yüksek öncelikli izinleri bildirmek için araçlar oluşturmayı düşünün [2].
3. Rol tabanlı erişim kontrolünü (RBAC) kullanın: Yönetilen kimlikleri kimin atayabileceğini veya yönetebileceğini kontrol etmek için RBAC kullanın. Bu, yetkisiz erişimi önlemeye yardımcı olur ve kimliklerin uygun şekilde kullanılmasını sağlar [3].
4. Monitör ve Uyarı: Yönetilen kimlik atamalarındaki değişiklikleri izleme ve uyarma ayarlayın. Bu, yetkisiz ödevlere hızlı bir şekilde yanıt vermenizi sağlar [3].
5. En az ayrıcalık ilkesini takip edin: Hibe Yönetilen Kimlikler Yalnızca görevlerini yerine getirmek için gerekli izinleri. Kimlik tehlikeye atılırsa güvenlik riskini artırabilecek gereksiz izinler vermekten kaçının [5].
6. Kullanıcı tarafından atanan kimlikleri manuel olarak yönetin: Kullanıcı tarafından atanan kimlikler bağımsız bir yaşam döngüsüne sahip olduğundan, artık ihtiyaç duyulmadıklarında bunları manuel olarak silin. Ayrıca, rol atama sınırlarını aşmaktan kaçınmak için yönetilen kimlikleri sildikten sonra rol atamalarının kaldırıldığından emin olun [5] [6].
7. Güvenlik gruplarını ve kaynak kilitlerini kullanın: Güvenlik gruplarını kullanmayı düşünün. Kaynak kilitleri ayrıca kritik kaynakların yanlışlıkla silinmesini veya değiştirilmesini önlemeye yardımcı olabilir [3].
Alıntılar:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-enties-sure-resources/how-manage-user-assigned-manged-dencages
[2] https://practical365.com/heard-at-tec-mischief-managed-tacking-and-securing-azure-managed-endentises/
[3] https://www.reddit.com/r/azure/comments/175ewbq/Managed_Identity_how_to_prevent_others_from_using/
[4] https://learn.microsoft.com/en-us/entra/identity/managed-enties-sure-resources/how-to-configure-managed-enges
[5] https://learn.microsoft.com/en-us/entra/identity/managed-enties-sure-resources/managed-enticity-best-practice-recommendations
[6] https://www.red-gate.com/simple-talk/cloud/azure/azure-fonction-and-says-ssigned-anned-entiess/
[7] https://www.evolvesecurity.com/blog-posts/securing-asure-managed-endentises
[8] https://docs.azure.cn/en-us/automation/enable-managed-entianity-for --utomation