Όταν χρησιμοποιείτε διαχειριζόμενες ταυτότητες με σύστημα με σύστημα με διαμορφώσεις τείχους προστασίας στο Azure, μπορούν να εφαρμοστούν αρκετές βέλτιστες πρακτικές:
1 Αρχή του ελάχιστου προνομίου: Βεβαιωθείτε ότι η διαχειριζόμενη ταυτότητα παρέχεται μόνο τα απαραίτητα δικαιώματα για την εκτέλεση των καθηκόντων της. Αυτό μειώνει τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης εάν η ταυτότητα διακυβεύεται. Για παράδειγμα, εάν μια διαχειριζόμενη ταυτότητα πρέπει να διαβάσει δεδομένα από λογαριασμό αποθήκευσης, δεν θα έπρεπε να έχει δικαιώματα εγγραφής εκτός εάν είναι απαραίτητο [5].
2. Διαχείριση του κύκλου ζωής: Οι ταυτότητες που έχουν προσβληθεί από το σύστημα συνδέονται με τον κύκλο ζωής του πόρου. Αυτό σημαίνει ότι διαγράφονται αυτόματα όταν διαγράφεται ο πόρος, ο οποίος μπορεί να απλοποιήσει τη διαχείριση, αλλά απαιτεί προσεκτικό σχεδιασμό για αναθέσεις ρόλων. Βεβαιωθείτε ότι οι αναθέσεις ρόλων δημιουργούνται και διαχειρίζονται κατάλληλα κατά τη διάρκεια της ανάπτυξης των πόρων [5].
3. Control Access Control (RBAC): Χρησιμοποιήστε το Azure RBAC για να διαχειριστείτε τα δικαιώματα για ταυτότητες που έχουν μεταβληθεί από το σύστημα. Αυτό επιτρέπει τον λεπτομερή έλεγχο σε ποιες ενέργειες μπορεί να εκτελέσει η ταυτότητα σε πόρους Azure [1].
4. Εμπιστευμένες υπηρεσίες: Όταν χρησιμοποιείτε τις ταυτότητες που έχουν προσβληθεί από το σύστημα με υπηρεσίες όπως το Azure Key Vault ή το Azure Storage, βεβαιωθείτε ότι είναι ενεργοποιημένη η επιλογή "επιτρέπεται σε αξιόπιστες υπηρεσίες της Microsoft να παρακάμψουν αυτό το τείχος προστασίας". Αυτό επιτρέπει στις διαχειριζόμενες ταυτότητες να έχουν πρόσβαση σε αυτές τις υπηρεσίες ακόμη και όταν έχουν ρυθμιστεί τα τείχη προστασίας [3].
5. Παρακολούθηση και έλεγχος: Παρακολουθεί τακτικά και ελέγχει τις δραστηριότητες που εκτελούνται από τις διαχειριζόμενες ταυτότητες για να εξασφαλίσουν ότι λειτουργούν εντός των αναμενόμενων ορίων. Αυτό είναι ιδιαίτερα σημαντικό για τους σκοπούς της συμμόρφωσης και της ασφάλειας [5].
6. Ομαδοποίηση πόρων: Εάν πολλοί πόροι απαιτούν πρόσβαση στο ίδιο σύνολο πόρων, εξετάστε το ενδεχόμενο να χρησιμοποιήσετε μια ταυτότητα που έχει μεταβληθεί από το χρήστη. Ωστόσο, εάν κάθε πόρος χρειάζεται μοναδικά δικαιώματα ή θα πρέπει να διαγραφεί με τον πόρο, οι ταυτότητες που έχουν μεταβληθεί από το σύστημα είναι πιο κατάλληλες [2] [5].
Στο πλαίσιο των διαμορφώσεων τείχους προστασίας, βεβαιωθείτε ότι οποιαδήποτε διαχειριζόμενη ταυτότητα που χρησιμοποιούνται για έλεγχο ταυτότητας ή πρόσβαση διαμορφώνονται σωστά ώστε να λειτουργούν με κανόνες και ρυθμίσεις τείχους προστασίας, επιτρέποντας την απαραίτητη κυκλοφορία διατηρώντας παράλληλα την ασφάλεια.
Αναφορές:
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administration-guide/205385/enable-system-assigned-gonedity-anditity-and-configure-permissions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-formed-identities/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-use-managed-service-identity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/