Azure에서 방화벽 구성과 함께 시스템이 부여 된 관리 아이덴티티를 사용할 때 몇 가지 모범 사례를 적용 할 수 있습니다.
1. 최소 특권의 원칙 : 관리 된 신원에 작업을 수행하는 데 필요한 권한 만 부여되도록하십시오. 이는 신원이 손상되면 무단 액세스의 위험을 줄입니다. 예를 들어, 관리 된 ID가 스토리지 계정에서 데이터를 읽어야하는 경우 필요한 경우가 아니라면 쓰기 권한이 없어야합니다 [5].
2. 수명주기 관리 : 시스템이 부여 된 ID는 자원의 수명주기와 관련이 있습니다. 즉, 리소스가 삭제 될 때 자동으로 삭제되므로 관리를 단순화 할 수 있지만 역할 할당을 신중하게 계획해야합니다. 리소스 배치 중에 역할 할당이 제대로 생성되고 관리되는지 확인하십시오 [5].
3. 역할 기반 액세스 제어 (RBAC) : Azure RBAC를 사용하여 시스템이 부여 된 ID에 대한 권한을 관리합니다. 이를 통해 정체성이 Azure Resources에서 수행 할 수있는 행동을 세분화 할 수 있습니다 [1].
4. 신뢰할 수있는 서비스 : Azure Key Vault 또는 Azure Storage와 같은 서비스와 함께 시스템이 부여 된 ID를 사용하는 경우 "신뢰할 수있는 Microsoft 서비스 가이 방화벽을 우회 할 수 있도록 허용"옵션이 활성화되어 있는지 확인하십시오. 이를 통해 방화벽이 구성된 경우에도 관리 된 ID가 이러한 서비스에 액세스 할 수 있습니다 [3].
5. 모니터링 및 감사 : 예상 된 경계 내에서 운영되도록 관리 된 신분이 수행하는 활동을 정기적으로 모니터링하고 감사합니다. 이것은 규정 준수 및 보안 감사 목적에 특히 중요합니다 [5].
6. 리소스 그룹화 : 여러 리소스에 동일한 리소스 세트에 액세스 해야하는 경우 대신 사용자가 할당 된 ID를 사용하는 것을 고려하십시오. 그러나 각 리소스에 고유 한 권한이 필요하거나 리소스로 삭제 해야하는 경우 시스템이 부여 된 신원이 더 적합합니다 [2] [5].
방화벽 구성의 맥락에서 인증 또는 액세스에 사용되는 관리 된 ID가 방화벽 규칙 및 설정으로 작동하도록 올바르게 구성되어 보안을 유지하면서 필요한 트래픽을 허용하는지 확인하십시오.
인용 :
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administration-guide/205385/enable-system-assigned-managed-identity-and-configure-permissions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-us-use-managed-service-identity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/managed-identities-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/