Systeem-toegewezen beheerde identiteiten in Azure hebben beperkingen als het gaat om firewall-configuraties, voornamelijk vanwege hun inherente aard en hoe ze omgaan met netwerkbeveiligingsinstellingen. Hier zijn enkele belangrijke punten om te overwegen:
1. Gebrek aan directe firewallcontrole: door systeem toegewezen beheerde identiteiten worden automatisch gemaakt en beheerd door Azure-bronnen. Ze bieden geen directe controle over firewall -configuraties. Dit betekent dat als u specifieke firewall-regels op een bron moet toepassen, u het misschien uitdagender vindt met door systeem toegewezen identiteiten in vergelijking met door gebruikers toegewezen instructies, die flexibeler kunnen worden beheerd.
2.. Resource-specifieke identiteit: door systeem toegewezen beheerde identiteiten zijn gebonden aan de levenscyclus van de bron waaraan ze zijn toegewezen. Dit betekent dat als u consistente firewallregels moet toepassen op meerdere bronnen, het gebruik van door systeem toegewezen identiteiten misschien niet zo efficiënt is als het gebruik van door gebruikers toegewezen identiteiten, die kunnen worden gedeeld over bronnen.
3. Beperkte flexibiliteit in netwerkconfiguratie: aangezien systeem-toegewezen identiteiten automatisch worden beheerd, bieden ze niet hetzelfde niveau van flexibiliteit bij het configureren van netwerkinstellingen, inclusief firewallregels, zoals door gebruikers toegewezen identiteiten. Dit kan een beperking zijn als u complexe netwerkbeveiligingsconfiguraties moet implementeren.
4. Vernieuwen en bijwerken van beperkingen: wijzigingen in machtigingen of groepslidmaatschappen voor beheerde identiteiten, inclusief door systeem toegewezen, kunnen enkele uren duren om zich te verspreiden door token caching. Deze vertraging kan beïnvloeden hoe snel de firewall -regel verandert, worden van kracht als ze afhankelijk zijn van identiteitsrechten.
Over het algemeen, hoewel door systeem toegewezen beheerde identiteiten handig zijn voor eenvoudige scenario's en zich houden aan het principe van het minste privilege, zijn ze mogelijk niet ideaal voor complexe firewall-configuraties of scenario's die meer controle over netwerkbeveiligingsinstellingen vereisen.
Citaten:
[1] https://learn.microsoft.com/en-us/entra/Identity/Managed-Identities-azure-Resources/Managed-Identity-best-Practice-recommendations
[2] https://cloud.google.com/firewall/docs/firewalls
[3] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[4] https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/760/management-center-device-config-76/identity-overview.html
[5] https://learn.microsoft.com/en-us/entra/Identity/Managed-Identities-azure-Resources/Managed-Identities-faq
[6] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-use-anaged-service-identity
[7] https://docs.azure.cn/en-us/logic-apps/authenticate-with-anaged-identity
[8] https://help.zerto.com/bundle/install.ma.html.90/page/enabling_user_assigned_managed_identities_and_setting_mandatory_permissions_in_azure.htm
[9] https://katiekodes.com/entra-azure-System-Assigned-Managed-Identity/