Når du bruker systemtillitede administrerte identiteter med brannmurkonfigurasjoner i Azure, kan flere beste praksis brukes:
1. Prinsipp for minst privilegium: Forsikre deg om at den administrerte identiteten bare er gitt de nødvendige tillatelsene til å utføre sine oppgaver. Dette reduserer risikoen for uautorisert tilgang hvis identiteten er kompromittert. For eksempel, hvis en administrert identitet trenger å lese data fra en lagringskonto, bør den ikke ha skrivetillatelser med mindre det er nødvendig [5].
2. Livssyklusstyring: Systemtilordnet identitet er knyttet til ressurssyklusen til ressursen. Dette betyr at de automatisk blir slettet når ressursen blir slettet, noe som kan forenkle styringen, men krever nøye planlegging for rolleoppgaver. Forsikre deg om at rolleoppgaver opprettes og administreres på riktig måte under ressursutplassering [5].
3. Rollbasert tilgangskontroll (RBAC): Bruk Azure RBAC for å administrere tillatelser for systemtillitte identiteter. Dette gir mulighet for granulær kontroll over hvilke handlinger identiteten kan utføre på Azure Resources [1].
4. TRUSTED SERVICES: Når du bruker systemtilskudd identiteter med tjenester som Azure Key Vault eller Azure Storage, må du forsikre deg om at alternativet "Tillat pålitelige Microsoft-tjenester kan omgå dette brannmuren" er aktivert hvis brannmurer er på plass. Dette tillater administrerte identiteter å få tilgang til disse tjenestene selv når brannmurer er konfigurert [3].
5. Overvåking og revisjon: Overvåk og revisjoner regelmessig aktivitetene som er utført av administrerte identiteter for å sikre at de opererer innenfor forventede grenser. Dette er spesielt viktig for etterlevelse og sikkerhetsrevisjonsformål [5].
6. Ressursgruppering: Hvis flere ressurser krever tilgang til det samme settet med ressurser, kan du vurdere å bruke en brukertillit identitet i stedet. Imidlertid, hvis hver ressurs trenger unike tillatelser eller bør slettes med ressursen, er systemtilordne identiteter mer egnet [2] [5].
I sammenheng med brannmurkonfigurasjoner, sørg for at eventuelle administrerte identiteter som brukes til autentisering eller tilgang er riktig konfigurert til å fungere med brannmurregler og innstillinger, noe som tillater nødvendig trafikk samtidig som du opprettholder sikkerhet.
Sitasjoner:
[1] https://docs.fortinet.com/document/fortianalzer-public-cloud/7.6.0/azure-administation-guide/205385/enable-system-assigned-managed-Identity-and-configure-permissions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-use-managed-service-dentity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-Identities-zure-resources/managed-Identity-best-practice-recommendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-Identities-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/