Bij het gebruik van door systeem toegewezen beheerde identiteiten met firewall-configuraties in Azure kunnen verschillende best practices worden toegepast:
1. Principe van het minst privilege: zorg ervoor dat de beheerde identiteit alleen de nodige machtigingen krijgt om haar taken uit te voeren. Dit vermindert het risico van ongeautoriseerde toegang als de identiteit wordt aangetast. Als een beheerde identiteit bijvoorbeeld gegevens van een opslagaccount moet lezen, zou deze geen schrijfrechten moeten hebben tenzij het nodig is [5].
2. Lifecycle Management: door systeem toegewezen identiteiten zijn gebonden aan de levenscyclus van de bron. Dit betekent dat ze automatisch worden verwijderd wanneer de bron wordt verwijderd, wat het management kan vereenvoudigen, maar zorgvuldig plannen voor roltoewijzingen. Zorg ervoor dat roltoewijzingen worden gemaakt en op de juiste manier worden beheerd tijdens de implementatie van middelen [5].
3. Rolgebaseerde toegangscontrole (RBAC): gebruik Azure RBAC om machtigingen voor door systeem toegewezen identiteiten te beheren. Dit zorgt voor een gedetailleerde controle over welke acties de identiteit kan uitvoeren op Azure -bronnen [1].
4. Vertrouwde services: bij het gebruik van systeem-toegewezen identiteiten met services zoals Azure Key Vault of Azure Storage, zorg er dan voor dat de optie "Vertrouwde Microsoft Services toestaan om deze firewall-optie te omzeilen" is ingeschakeld als firewalls aanwezig zijn. Hierdoor kunnen beheerde identiteiten toegang krijgen tot deze services, zelfs wanneer firewalls zijn geconfigureerd [3].
5. Monitoring en auditing: controleer en controleer regelmatig de activiteiten die worden uitgevoerd door beheerde identiteiten om ervoor te zorgen dat ze binnen de verwachte grenzen werken. Dit is vooral belangrijk voor naleving en beveiligingsauditedoeleinden [5].
6. Resourcegroepering: als meerdere bronnen toegang vereisen tot dezelfde set bronnen, overweeg dan om in plaats daarvan een door de gebruiker toegewezen identiteit te gebruiken. Als elke bron echter unieke machtigingen nodig heeft of moet worden verwijderd met de bron, zijn door systeem toegewezen identiteiten geschikter [2] [5].
Zorg ervoor dat alle beheerde identiteiten die worden gebruikt voor authenticatie of toegang correct zijn geconfigureerd om te werken met firewall -regels en -instellingen, waardoor het noodzakelijk verkeer mogelijk is om de beveiliging te behouden.
Citaten:
[1] https://docs.fortinet.com/document/fortianalalyzer-public-cloud/7.6.0/azure-administration-guide/205385/enable-System-anaged-anaged-anaged-identity- en-configure-permissions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-use-anaged-service-identity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/Identity/Managed-Identities-azure-Resources/Managed-Identity-best-Practice-recommendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/Managed-Identities-azure-Resources/OverView
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/