Οι διαχειριζόμενες ταυτότητες που διαχειρίζονται το σύστημα στο Azure έχουν περιορισμούς όταν πρόκειται για διαμορφώσεις τείχους προστασίας, κυρίως λόγω της εγγενούς φύσης τους και του τρόπου αλληλεπίδρασης με τις ρυθμίσεις ασφαλείας του δικτύου. Ακολουθούν ορισμένα βασικά σημεία που πρέπει να λάβετε υπόψη:
1. Έλλειψη άμεσου ελέγχου τείχους προστασίας: Οι διαχειριζόμενες ταυτότητες που διαχειρίζονται το σύστημα δημιουργούνται αυτόματα και διαχειρίζονται οι Azure Resources. Δεν παρέχουν άμεσο έλεγχο των διαμορφώσεων τείχους προστασίας. Αυτό σημαίνει ότι εάν χρειαστεί να εφαρμόσετε συγκεκριμένους κανόνες τείχους προστασίας σε έναν πόρο, ίσως να το βρείτε πιο δύσκολο με τις ταυτότητες που έχουν μεταβληθεί από το σύστημα σε σύγκριση με τις εκχωρημένες χρήστες, οι οποίες μπορούν να αντιμετωπιστούν πιο ευέλικτα.
2. Ειδική ταυτότητα των πόρων: Οι διαχειριζόμενες ταυτότητες που έχουν διαχειριστεί από το σύστημα συνδέονται με τον κύκλο ζωής του πόρου στον οποίο έχουν ανατεθεί. Αυτό σημαίνει ότι εάν πρέπει να εφαρμόσετε συνεπείς κανόνες τείχους προστασίας σε πολλαπλούς πόρους, η χρήση ταυτότητας που έχουν αξιολογηθεί από το σύστημα ενδέχεται να μην είναι εξίσου αποτελεσματικές με τη χρήση ταυτότητας που έχουν μεταβληθεί από το χρήστη, οι οποίες μπορούν να μοιραστούν σε όλους τους πόρους.
3. Περιορισμένη ευελιξία στη διαμόρφωση του δικτύου: Δεδομένου ότι οι ταυτότητες που έχουν διαχειριστεί το σύστημα διαχειρίζονται αυτόματα, δεν προσφέρουν το ίδιο επίπεδο ευελιξίας στη διαμόρφωση των ρυθμίσεων δικτύου, συμπεριλαμβανομένων των κανόνων τείχους προστασίας, όπως κάνουν οι ταυτότητες που έχουν μεταβληθεί από τους χρήστες. Αυτό μπορεί να είναι ένας περιορισμός εάν πρέπει να εφαρμόσετε σύνθετες διαμορφώσεις ασφαλείας δικτύου.
4. Ανανέωση και ενημέρωση περιορισμών: Οι αλλαγές στις άδειες ή οι συμμετοχές της ομάδας για διαχειριζόμενες ταυτότητες, συμπεριλαμβανομένων των εκχωρημένων συστημάτων, μπορούν να διαρκέσουν αρκετές ώρες για να διαδοθούν λόγω της προσωρινής αποθήκευσης συμβόλων. Αυτή η καθυστέρηση μπορεί να επηρεάσει πόσο γρήγορα οι αλλαγές του κανόνα τείχους προστασίας τίθενται σε ισχύ εάν βασίζονται σε δικαιώματα ταυτότητας.
Συνολικά, ενώ οι διαχειριζόμενες ταυτότητες που διαχειρίζονται το σύστημα είναι βολικές για απλά σενάρια και τηρούν την αρχή του ελάχιστου προνομίου, μπορεί να μην είναι ιδανικές για σύνθετες διαμορφώσεις ή σενάρια που απαιτούν μεγαλύτερο έλεγχο των ρυθμίσεων ασφαλείας του δικτύου.
Αναφορές:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[2] https://cloud.google.com/firewall/docs/firewalls
[3] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[4] https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/760/management-center-device-config-76/identity-overview.html
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identities-faq
[6] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-use-ganage-service-identity
[7] https://docs.azure.cn/en-us/logic-apps/authenticate-with-managed-identity
[8] https://help.zerto.com/bundle/install.ma.html.90/page/enabling_user_assigned_managed_identities_and_setting_mandatory_permiss_in_azure.htm
[9] https://katiekodes.com/entra-azure-system-assigned-ganaged-identity/