Az Azure rendszer által kiigazított kezelt identitásoknak korlátozásaik vannak a tűzfal-konfigurációkkal kapcsolatban, elsősorban a velejáró jellegük és a hálózati biztonsági beállításokkal való kölcsönhatásuk miatt. Íme néhány kulcsfontosságú szempont, amelyet figyelembe kell venni:
1. A közvetlen tűzfalvezérlés hiánya: A rendszerhez igazított kezelt identitásokat az Azure Resources automatikusan hozza létre és kezeli. Nem biztosítják a tűzfal -konfigurációk közvetlen irányítását. Ez azt jelenti, hogy ha konkrét tűzfal-szabályokat kell alkalmaznia egy erőforrásra, akkor a rendszerhez beállított identitásokkal szemben nagyobb kihívást jelenthet a felhasználó által jelöltekhez képest, amelyek rugalmasabban kezelhetők.
2. Erőforrás-specifikus identitás: A rendszerhez igazított kezelt identitások kapcsolódnak a hozzárendelt erőforrás életciklusához. Ez azt jelenti, hogy ha a folyamatos tűzfal-szabályokat több erőforráson keresztül kell alkalmazni, akkor a rendszerhez által létrehozott identitások használata nem lehet olyan hatékony, mint a felhasználó által megadott személyazonosságok használata, amelyet meg lehet osztani az erőforrások között.
3. Korlátozott rugalmasság a hálózati konfigurációban: Mivel a rendszerhez beállított identitások automatikusan kezelik, nem kínálnak ugyanolyan rugalmasságot a hálózati beállítások konfigurálásában, ideértve a tűzfalszabályokat is, mint a felhasználó által kiosztott identitások. Ez korlátozás lehet, ha komplex hálózati biztonsági konfigurációkat kell végrehajtania.
4. Frissítse és frissítse a korlátozásokat: A kezelt identitások engedélyeinek vagy csoporttagságának megváltoztatása, beleértve a rendszer által előállított személyeket is, több órát vehet igénybe a token gyorsítótárazás miatt. Ez a késleltetés befolyásolhatja a tűzfal -szabályok változásának hatálybalépését, ha azok személyazonossági engedélyekre támaszkodnak.
Összességében, míg a rendszerhez igazított kezelt identitások kényelmesek az egyszerű forgatókönyvekhez, és betartják a legkevesebb kiváltság elvét, lehet, hogy nem ideálisak a komplex tűzfal-konfigurációkhoz vagy forgatókönyvekhez, amelyek nagyobb ellenőrzést igényelnek a hálózati biztonsági beállítások felett.
Idézetek:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-entities-azure-resources
[2] https://cloud.google.com/firewall/docs/firewalls
[3] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[4] https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/760/management-center-device-config-76/identity-oview.html
[5] https://learn.microsoft.com/en-us/entra/identity/managed-entities-azure-resources/managed-entities-faq
[6] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-use-anaged-service-eventity
[7] https://docs.azure.cn/en-us/logic-apps/authenticate-with-anaged-identity
[8] https://help.zerto.com/bundle/install.ma.html.90/page/enabling_user_assigned_managed_identities_anding_mandory_permissions_in_azure.htm
[9] https://katiekodes.com/entra-azure-system-signigned-anaged-entity/