Podczas korzystania z tożsamości zarządzanych systemem z konfiguracją zapory na platformie Azure można zastosować kilka najlepszych praktyk:
1. Zasada najmniejszych przywilejów: Upewnij się, że zarządzana tożsamość jest przyznawana jedynie niezbędnymi uprawnieniami do wykonywania swoich zadań. Zmniejsza to ryzyko nieautoryzowanego dostępu, jeżeli tożsamość jest zagrożona. Na przykład, jeśli zarządzana tożsamość musi odczytać dane z konta pamięci, nie powinna mieć uprawnień do zapisu, chyba że jest to konieczne [5].
2. Zarządzanie cyklem życia: Tożsamości przypisane systemem są powiązane z cyklem życia zasobu. Oznacza to, że są one automatycznie usuwane po usunięciu zasobu, co może uprościć zarządzanie, ale wymaga starannego planowania przydziałów ról. Upewnij się, że przypisania ról są tworzone i zarządzane odpowiednio podczas wdrażania zasobów [5].
3. Kontrola dostępu oparta na role (RBAC): Użyj Azure RBAC do zarządzania uprawnieniami dla tożsamości przypisanych systemem. Umożliwia to szczegółową kontrolę nad tym, jakie działania tożsamość może wykonywać na zasobach platformy Azure [1].
4. Usługi zaufane: Podczas korzystania z tożsamości przypisywanych systemem z usługami takimi jak Azure Key Vault lub Azure Storage upewnij się, że „Zezwalaj na zaufane usługi Microsoft na ominięcie tej zapory” jest włączone, jeśli zapory są wprowadzone. Umożliwia to zarządzanym tożsamości dostępu do tych usług, nawet gdy konfigurowane są zapory ogniowe [3].
5. Monitorowanie i audyt: Regularnie monitoruj i audyt działania wykonywane przez tożsamości zarządzane, aby upewnić się, że działają w oczekiwanych granicach. Jest to szczególnie ważne dla celów zgodności i kontroli bezpieczeństwa [5].
6. Grupowanie zasobów: Jeśli wiele zasobów wymaga dostępu do tego samego zestawu zasobów, rozważ użycie tożsamości przypisanej użytkownikowi. Jeśli jednak każdy zasób potrzebuje unikalnych uprawnień lub powinien zostać usunięty z zasobem, tożsamości przypisane systemem są bardziej odpowiednie [2] [5].
W kontekście konfiguracji zapory upewnij się, że wszelkie zarządzane tożsamości używane do uwierzytelniania lub dostępu są odpowiednio skonfigurowane do pracy z regułami i ustawieniami zapory, umożliwiając niezbędny ruch przy jednoczesnym zachowaniu bezpieczeństwa.
Cytaty:
[1] https://docs.fortinet.com/document/fortialyzer-public-vloud/7.6.0/azure-administration-guide/205385/enable-system-assigned-anemanaged-identity-and-configure-permissions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-ananaged-identities/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-use-managed-service-identity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/Managed-identities-azure-resources/Managed-identity-best-practice-recommendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/Managed-identities-azure-resources/overview
[8] https://trendmicro.com/cloudoneConformity/knowledge-base/azure/