Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Er der nogen bedste praksis til brug af systemdusterede styrede identiteter med firewall-konfigurationer


Er der nogen bedste praksis til brug af systemdusterede styrede identiteter med firewall-konfigurationer


Når man bruger systemdusterede administrerede identiteter med firewall-konfigurationer i Azure, kan der anvendes flere bedste praksis:

1. princip om mindst privilegium: Sørg for, at den administrerede identitet kun tildeles de nødvendige tilladelser til at udføre sine opgaver. Dette reducerer risikoen for uautoriseret adgang, hvis identiteten kompromitteres. For eksempel, hvis en administreret identitet har brug for at læse data fra en lagringskonto, skal den ikke have skrivningstilladelser, medmindre det er nødvendigt [5].

2. Livscyklusstyring: Systemtildelte identiteter er knyttet til ressourcens livscyklus. Dette betyder, at de automatisk slettes, når ressourcen slettes, hvilket kan forenkle styringen, men kræver omhyggelig planlægning for rolletildelinger. Sørg for, at rolleopgaver oprettes og styres korrekt under ressourceinstallation [5].

3. rollebaseret adgangskontrol (RBAC): Brug Azure RBAC til at administrere tilladelser til systemtildelte identiteter. Dette giver mulighed for granulær kontrol over, hvilke handlinger identiteten kan udføre på Azure Resources [1].

4. Trusted Services: Når du bruger systemtildelte identiteter med tjenester som Azure Key Vault eller Azure Storage, skal du sikre dig, at indstillingen "Tillad-betroede Microsoft-tjenester kan omgå denne firewall" er aktiveret, hvis firewalls er på plads. Dette gør det muligt for administrerede identiteter at få adgang til disse tjenester, selv når firewalls er konfigureret [3].

5. Overvågning og revision: Overvåg regelmæssigt og revision af de aktiviteter, der udføres af administrerede identiteter for at sikre, at de opererer inden for forventede grænser. Dette er især vigtigt til overholdelse og sikkerhedsrevisionsformål [5].

6. Ressourcegruppering: Hvis flere ressourcer kræver adgang til det samme sæt ressourcer, skal du overveje at bruge en bruger-tildelt identitet i stedet. Men hvis hver ressource har brug for unikke tilladelser eller skal slettes med ressourcen, er systemtildelte identiteter mere egnede [2] [5].

I forbindelse med firewallkonfigurationer skal du sikre dig, at enhver styrede identitet, der bruges til godkendelse eller adgang, er korrekt konfigureret til at arbejde med firewall -regler og indstillinger, hvilket tillader den nødvendige trafik, mens den opretholder sikkerhed.

Citater:
)
)
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-ass-managed-service-identitet
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/