Při používání spravované identity přiřazené systémem s konfigurací firewall v Azure lze použít několik osvědčených postupů:
1. Zásada nejméně privilegia: Zajistěte, aby spravovanou identitu byla udělena pouze nezbytná oprávnění k plnění svých úkolů. To snižuje riziko neoprávněného přístupu, pokud je identita ohrožena. Pokud například spravovaná identita potřebuje číst data z účtu úložiště, neměla by mít oprávnění k zápisu, pokud to není nutné [5].
2. Správa životního cyklu: Identity přiřazené systémem jsou vázány na životní cyklus zdroje. To znamená, že jsou automaticky smazány, když je zdroj odstraněn, což může zjednodušit správu, ale vyžaduje pečlivé plánování přiřazení rolí. Zajistěte, aby byly přiřazení rolí vytvářeny a spravovány vhodně během nasazení zdrojů [5].
3. Řízení přístupu založeného na rolích (RBAC): Pomocí Azure RBAC spravujte oprávnění pro identity přiřazené systémem. To umožňuje granulární kontrolu nad tím, jaké akce může identita provádět na zdrojích Azure [1].
4. Důvěryhodné služby: Při používání identit přiřazených systémem se službami, jako je Azure Key Vault nebo Azure Storage, zajistěte, aby byla povolena možnost „Povolit důvěryhodné služby Microsoft pro obcházení této firewall“, pokud jsou zavedeny brány firewall. To umožňuje spravovanou identitu přístup k těmto službám, i když jsou nakonfigurovány firewally [3].
5. Monitorování a auditování: Pravidelně sledujte a auditujte činnosti prováděné řízenou identitou, aby se zajistilo, že fungují v očekávaných hranicích. To je zvláště důležité pro účely auditu dodržování předpisů a bezpečnostního auditu [5].
6. Skupina zdrojů: Pokud více zdrojů vyžaduje přístup ke stejné sadě zdrojů, zvažte místo toho použití identity přiřazené uživatelem. Pokud však každý zdroj potřebuje jedinečná oprávnění nebo by měl být smazán zdrojem, je vhodnější identita přiřazená systémem [2] [5].
V kontextu konfigurací brány firewall zajistěte, aby jakákoli spravovaná identita používaná pro ověřování nebo přístup správně nakonfigurovala tak, aby fungovala s pravidly a nastavením firewall, což umožňuje nezbytný provoz při zachování zabezpečení.
Citace:
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administration-guide/205385/enable-system-Assigned-identity-and-configure-Permississions
[2] https://www.red-gate.com/Simple-Talk/Cloud/azure/azure-function-and-user-Assigned-anaged-identities/
[3] https://docs.azure.cn/en-us/api-management/api-management-use-use-aged-service-identity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-Pest-Practice-Recomimendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/