Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon هل هناك أفضل ممارسات لاستخدام الهويات المدارة المعينة من قبل النظام مع تكوينات جدار الحماية


هل هناك أفضل ممارسات لاستخدام الهويات المدارة المعينة من قبل النظام مع تكوينات جدار الحماية


عند استخدام الهويات المدارة المعتمدة من قبل النظام مع تكوينات جدار الحماية في Azure ، يمكن تطبيق العديد من الممارسات الأفضل:

1. مبدأ الامتياز الأقل: تأكد من منح الهوية المدارة فقط الأذونات اللازمة لأداء مهامها. هذا يقلل من خطر الوصول غير المصرح به إذا تم اختراق الهوية. على سبيل المثال ، إذا احتاجت الهوية المدارة إلى قراءة البيانات من حساب التخزين ، فلا ينبغي أن يكون لها أذونات الكتابة إلا إذا لزم الأمر [5].

2. إدارة دورة الحياة: ترتبط الهويات المعتمدة من النظام بدورة حياة المورد. هذا يعني أنه يتم حذفها تلقائيًا عند حذف المورد ، مما يمكن أن يبسط الإدارة ولكنه يتطلب تخطيطًا دقيقًا لتخصيصات الأدوار. تأكد من إنشاء تعيينات الأدوار وإدارتها بشكل مناسب أثناء نشر الموارد [5].

3. التحكم في الوصول القائم على الأدوار (RBAC): استخدم Azure RBAC لإدارة أذونات الهويات المعتمدة من النظام. هذا يسمح بالتحكم الحبيبي في الإجراءات التي يمكن أن تؤديها الهوية على موارد Azure [1].

4. الخدمات الموثوقة: عند استخدام هويات محددة من النظام مع خدمات مثل Azure Key Vault أو Azure Storage ، تأكد من تمكين "السماح لخدمات Microsoft الموثوقة بتجاوز جدار الحماية هذا" إذا كانت جدران الحماية في مكانها. يتيح ذلك الهويات المدارة للوصول إلى هذه الخدمات حتى عند تكوين جدران الحماية [3].

5. المراقبة والتدقيق: مراقبة وتدقيق الأنشطة التي تؤديها الهويات المدارة بانتظام لضمان عملها ضمن الحدود المتوقعة. هذا مهم بشكل خاص لأغراض التدقيق في الامتثال والأمن [5].

6. تجميع الموارد: إذا كانت الموارد المتعددة تتطلب الوصول إلى نفس مجموعة الموارد ، ففكر في استخدام هوية معتمدة من المستخدم بدلاً من ذلك. ومع ذلك ، إذا كان كل مورد يحتاج إلى أذونات فريدة أو ينبغي حذفه بالمورد ، فإن الهويات المعتمدة من النظام تكون أكثر ملاءمة [2] [5].

في سياق تكوينات جدار الحماية ، تأكد من تكوين أي هويات مُدارة تستخدم للمصادقة أو الوصول بشكل صحيح للعمل مع قواعد جدار الحماية والإعدادات ، مما يسمح بحركة المرور اللازمة مع الحفاظ على الأمان.

الاستشهادات:
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administration-guide/205385/enable-system-assigned-daided-identity-and-configure-missions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function--ser-assigned-managed-identities/
[3] https://docs.azure.cn/en-us/api-management/api- management-howto-use-danaged-service-ithity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-azed-azure-resources/managed-identity-best-practice-practice
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[8]