Ao usar identidades gerenciadas atribuídas ao sistema com configurações de firewall no Azure, várias práticas recomendadas podem ser aplicadas:
1. Princípio do menor privilégio: verifique se a identidade gerenciada recebe apenas as permissões necessárias para executar suas tarefas. Isso reduz o risco de acesso não autorizado se a identidade for comprometida. Por exemplo, se uma identidade gerenciada precisar ler dados de uma conta de armazenamento, ele não deve ter permissões de gravação, a menos que seja necessário [5].
2. Gerenciamento do ciclo de vida: as identidades atribuídas ao sistema estão ligadas ao ciclo de vida do recurso. Isso significa que eles são excluídos automaticamente quando o recurso é excluído, o que pode simplificar o gerenciamento, mas requer um planejamento cuidadoso para atribuições de função. Verifique se as atribuições de função são criadas e gerenciadas adequadamente durante a implantação de recursos [5].
3. Controle de acesso baseado em função (RBAC): use o Azure RBAC para gerenciar permissões para identidades atribuídas ao sistema. Isso permite o controle granular sobre quais ações a identidade pode executar nos recursos do Azure [1].
4. Serviços confiáveis: Ao usar identidades atribuídas ao sistema com serviços como o Azure Key Vault ou o Azure Storage, verifique se a opção "Permitir que os Serviços Microsoft confiáveis ignorem esta firewall" sejam ativados se os firewalls estiverem em vigor. Isso permite que as identidades gerenciadas acessem esses serviços, mesmo quando os firewalls são configurados [3].
5. Monitoramento e auditoria: Monitore e audite regularmente as atividades realizadas por identidades gerenciadas para garantir que elas estejam operando dentro dos limites esperados. Isso é particularmente importante para fins de conformidade e auditoria de segurança [5].
6. Agrupamento de recursos: Se vários recursos exigirem acesso ao mesmo conjunto de recursos, considere o uso de uma identidade atribuída ao usuário. No entanto, se cada recurso precisar de permissões exclusivas ou for excluído com o recurso, as identidades atribuídas ao sistema são mais adequadas [2] [5].
No contexto das configurações do firewall, verifique se quaisquer identidades gerenciadas usadas para autenticação ou acesso sejam configuradas adequadamente para trabalhar com regras e configurações de firewall, permitindo o tráfego necessário, mantendo a segurança.
Citações:
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administration-guide/205385/enable-system-signed-managed-entity-and-configure-permissions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-anaged-identities/
[3] https://docs.azure.cn/en-us/api-anagement/api-management-howto-use-managed-erserve-sentity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-entity-best-practice-recommendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/