Kun käytetään järjestelmän määritettyjä hallinnoituja identiteettejä palomuurikokoonpanoilla Azuressa, voidaan soveltaa useita parhaita käytäntöjä:
1. Vähiten etuoikeuden periaate: Varmista, että hallittu henkilöllisyys myönnetään vain tarvittavat luvat tehtäviensä suorittamiseen. Tämä vähentää luvattoman pääsyn riskiä, jos identiteetti vaarantuu. Esimerkiksi, jos hallittu henkilöllisyys on luettava tietotilalta tietoja, sillä ei pitäisi olla kirjoitusoikeuksia, ellei välttämätöntä [5].
2 Tämä tarkoittaa, että ne poistetaan automaattisesti, kun resurssi poistetaan, mikä voi yksinkertaistaa hallintaa, mutta vaatii huolellista suunnittelua roolitehtäviin. Varmista, että roolitehtävät luodaan ja hallitaan asianmukaisesti resurssien käyttöönoton aikana [5].
3. Roolipohjainen pääsynhallinta (RBAC): Käytä Azure RBAC: ta järjestelmän määrittämien identiteettien käyttöoikeuksien hallintaan. Tämä mahdollistaa rakeisen hallinnan siitä, mitä toimia identiteetti voi suorittaa Azure -resursseilla [1].
4. Luotetut palvelut: Kun käytät järjestelmän määrittelemiä identiteettejä palveluiden kanssa, kuten Azure Key Holvi tai Azure Storage, varmista, että "salli luotetut Microsoft Services ohittaa tämän palomuurin" vaihtoehto on käytössä, jos palomuurit ovat paikoillaan. Tämä antaa hallittujen identiteettien pääsyn näihin palveluihin, vaikka palomuurit on määritetty [3].
5. Valvonta ja tarkastus: Tarkkaile säännöllisesti hallittujen identiteettien suorittamia toimintoja varmistaakseen, että ne toimivat odotettavissa olevilla rajoilla. Tämä on erityisen tärkeää vaatimustenmukaisuus- ja turvallisuustarkastustarkoituksiin [5].
6. Resurssien ryhmittely: Jos useat resurssit vaativat pääsyä samoihin resurssiryhmiin, harkitse sen sijaan käyttäjän määrittämää henkilöllisyyttä. Jos jokainen resurssi tarvitsee kuitenkin ainutlaatuisia käyttöoikeuksia tai se tulisi poistaa resurssilla, järjestelmän määrittämät identiteetit ovat sopivampia [2] [5].
Varmista palomuurikonfiguraatioiden yhteydessä, että kaikki todennukseen tai pääsyyn käytetyt hallinnoidut identiteetit on määritetty asianmukaisesti toimimaan palomuurisääntöjen ja asetusten kanssa, mikä mahdollistaa tarvittavan liikenteen säilyttäen turvallisuutta.
Viittaukset:
.
.
.
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
.
[6] https://sec.cloudaps.cisco.com/security/center/resources/firewall_best_practices
.
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/