Quando si utilizzano identità gestite assegnate dal sistema con configurazioni di firewall in Azure, è possibile applicare diverse migliori pratiche:
1. Principio del minimo privilegio: assicurarsi che all'identità gestita sia concessa solo le autorizzazioni necessarie per svolgere i suoi compiti. Ciò riduce il rischio di accesso non autorizzato se l'identità è compromessa. Ad esempio, se un'identità gestita deve leggere i dati da un account di archiviazione, non dovrebbe avere autorizzazioni di scrittura se non necessario [5].
2. Gestione del ciclo di vita: le identità assegnate al sistema sono legate al ciclo di vita della risorsa. Ciò significa che vengono eliminati automaticamente quando la risorsa viene eliminata, il che può semplificare la gestione ma richiede un'attenta pianificazione per gli assegnazioni di ruolo. Assicurarsi che gli incarichi di ruolo vengano creati e gestiti in modo appropriato durante la distribuzione delle risorse [5].
3. Controllo di accesso basato sul ruolo (RBAC): utilizzare Azure RBAC per gestire le autorizzazioni per le identità assegnate dal sistema. Ciò consente il controllo granulare su quali azioni può eseguire l'identità sulle risorse di Azure [1].
4. Servizi di fiducia: quando si utilizzano identità assegnate al sistema con servizi come Azure Key Vault o Azure Archite, assicurarsi che l'opzione "consentire ai servizi Microsoft affidabili per bypassare questa firewall" sia abilitato se i firewall sono in atto. Ciò consente alle identità gestite di accedere a questi servizi anche quando sono configurati i firewall [3].
5. Monitoraggio e revisione contabile: monitorare regolarmente e verificare le attività svolte da identità gestite per garantire che operano entro i confini previsti. Ciò è particolarmente importante per gli scopi di conformità e di controllo della sicurezza [5].
6. Gruppo di risorse: se più risorse richiedono l'accesso allo stesso insieme di risorse, prendi in considerazione l'utilizzo di un'identità assegnata dall'utente. Tuttavia, se ogni risorsa necessita di autorizzazioni uniche o deve essere eliminata con la risorsa, le identità assegnate al sistema sono più adatte [2] [5].
Nel contesto delle configurazioni di firewall, assicurarsi che tutte le identità gestite utilizzate per l'autenticazione o l'accesso siano correttamente configurate per lavorare con le regole e le impostazioni del firewall, consentendo il traffico necessario mantenendo la sicurezza.
Citazioni:
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administer-guide/205385/enable-system-assigned-managed-identità-and-configure-permmissions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assiged-managed-identities/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-use-managed-service-identy
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identaty/managed-identities-azure-resources/managed-identity-best-practice-reCommedations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practs
[7] https://learn.microsoft.com/en-us/entra/identaty/managed-identities-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/