Azureのファイアウォール構成でシステム割り当てのマネージドアイデンティティを使用する場合、いくつかのベストプラクティスを適用できます。
1。最小特権の原則:管理されたアイデンティティが、タスクを実行するために必要な権限のみが付与されることを確認します。これにより、IDが侵害された場合、不正アクセスのリスクが軽減されます。たとえば、管理されたアイデンティティがストレージアカウントからデータを読み取る必要がある場合、必要でない限り書き込み許可を持たないはずです[5]。
2。ライフサイクル管理:システムが割り当てられたアイデンティティは、リソースのライフサイクルに関連付けられています。これは、リソースが削除されたときに自動的に削除されることを意味します。これにより、管理を簡素化できますが、役割の割り当てには慎重な計画が必要です。リソースの展開中に役割の割り当てが適切に作成および管理されることを確認します[5]。
3。ロールベースのアクセス制御(RBAC):Azure RBACを使用して、システムが割り当てられたアイデンティティのアクセス許可を管理します。これにより、アイデンティティがAzure Resourcesで実行できるアクションを粒状制御できます[1]。
4。信頼できるサービス:Azure Key VaultやAzureストレージなどのサービスでシステム割り当てされたIDを使用する場合、「信頼できるMicrosoftサービスがこのファイアウォールをバイパスできるようにする」オプションが有効になっていることを確認してください。これにより、ファイアウォールが構成されている場合でも、マネージドアイデンティティがこれらのサービスにアクセスできます[3]。
5。監視と監査:管理されたアイデンティティが実行するアクティビティを定期的に監視および監査して、予想される境界内で動作していることを確認します。これは、コンプライアンスとセキュリティ監査の目的で特に重要です[5]。
6。リソースグループ化:複数のリソースが同じリソースセットへのアクセスが必要な場合は、代わりにユーザーが割り当てたIDを使用することを検討してください。ただし、各リソースには一意のアクセス許可が必要な場合、またはリソースで削除される必要がある場合、システムが割り当てられたアイデンティティがより適しています[2] [5]。
ファイアウォール構成のコンテキストでは、認証またはアクセスに使用される管理されたアイデンティティが、ファイアウォールルールと設定で動作するように適切に構成されていることを確認し、セキュリティを維持しながら必要なトラフィックを可能にします。
引用:
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administration-guide/enable-system-system-managed-identity-andity-and-configure-permisions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-use-managed-service-アイデンティティ
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/manage-identities-azure-resources/managed-identity-best-practice-recommendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/manage-identities-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/