Azure'daki sistem atanan yönetilen kimlikler, öncelikle doğası gereği doğaları ve ağ güvenliği ayarlarıyla nasıl etkileşime girdikleri için güvenlik duvarı yapılandırmaları söz konusu olduğunda sınırlamalara sahiptir. İşte dikkate alınması gereken bazı önemli noktalar:
1. Doğrudan güvenlik duvarı kontrolü: Sistem tarafından atanan yönetilen kimlikler Azure kaynakları tarafından otomatik olarak oluşturulur ve yönetilir. Güvenlik duvarı yapılandırmaları üzerinde doğrudan kontrol sağlamazlar. Bu, bir kaynağa belirli güvenlik duvarı kurallarını uygulamanız gerekiyorsa, daha esnek bir şekilde yönetilebilen kullanıcı atanmış olanlara kıyasla sistem atanmış kimliklerle daha zorlayıcı bulabileceğiniz anlamına gelir.
2. Kaynağa özgü kimlik: Sistem tarafından atanan yönetilen kimlikler, atandıkları kaynağın yaşam döngüsüne bağlıdır. Bu, birden fazla kaynakta tutarlı güvenlik duvarı kuralları uygulamanız gerekiyorsa, sistem atanan kimlikleri kullanmak, kaynaklar arasında paylaşılabilen kullanıcı tarafından atanan kimlikleri kullanmak kadar verimli olmayabileceği anlamına gelir.
3. Ağ Yapılandırmasında Sınırlı Esneklik: Sistem tarafından atanan kimlikler otomatik olarak yönetildiğinden, kullanıcı tarafından atanan kimliklerin yaptığı gibi, güvenlik duvarı kuralları da dahil olmak üzere ağ ayarlarını yapılandırmada aynı esneklik sunmazlar. Karmaşık ağ güvenlik konfigürasyonlarını uygulamanız gerekiyorsa bu bir sınırlama olabilir.
4. Sınırlamaları yenileyin ve güncelleme: Sistem atanmış olanlar da dahil olmak üzere yönetilen kimlikler için izinler veya grup üyelikleri değişiklikleri, belirteç önbelleğinden dolayı yayılması birkaç saat sürebilir. Bu gecikme, güvenlik duvarı kuralı değişikliklerinin kimlik izinlerine güveniyorsa ne kadar hızlı yürürlüğe girdiğini etkileyebilir.
Genel olarak, sistem tarafından atanan yönetilen kimlikler basit senaryolar için uygun olsa da ve en az ayrıcalık prensibine uyarken, ağ güvenliği ayarları üzerinde daha fazla kontrol gerektiren karmaşık güvenlik duvarı yapılandırmaları veya senaryolar için ideal olmayabilir.
Alıntılar:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-enties-sure-resources/managed-enticity-best-practice-recommendations
[2] https://cloud.google.com/firewall/docs/firewalls
[3] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[4] https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config-76/identity-overview.html
[5] https://learn.microsoft.com/en-us/entra/identity/managed-enties-sure-resources/managed-entiesities-faq
[6] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-useged-service-ridentity
[7] https://docs.azure.cn/en-us/logic-apps/authenticate-with-managed-enticity
[8] https://help.zerto.com/bundle/install.ma.html.90/page/enabling_user_assigned_managed_dendentities_and_setting_mandatory_permissions_in_azure.htm
[9] https://katiekodes.com/entra-system-ssigned-managed-anticity/