Cuando se utilizan identidades administradas asignadas por el sistema con configuraciones de firewall en Azure, se pueden aplicar varias mejores prácticas:
1. Principio de menor privilegio: Asegúrese de que la identidad administrada reciba solo los permisos necesarios para realizar sus tareas. Esto reduce el riesgo de acceso no autorizado si la identidad se ve comprometida. Por ejemplo, si una identidad administrada necesita leer datos de una cuenta de almacenamiento, no debe tener permisos de escritura a menos que sea necesario [5].
2. Gestión del ciclo de vida: las identidades asignadas al sistema están vinculadas al ciclo de vida del recurso. Esto significa que se eliminan automáticamente cuando se elimina el recurso, lo que puede simplificar la gestión, pero requiere una planificación cuidadosa para las tareas de roles. Asegúrese de que las asignaciones de roles se creen y se administren adecuadamente durante la implementación de recursos [5].
3. Control de acceso basado en roles (RBAC): use Azure RBAC para administrar los permisos para las identidades asignadas por el sistema. Esto permite el control granular sobre qué acciones puede realizar la identidad en los recursos de Azure [1].
4. Servicios de confianza: Cuando se utilice identidades asignadas al sistema con servicios como Azure Key Vault o Azure Storage, asegúrese de que la opción "Permitir que los servicios de Microsoft de confianza omitan este firewall" esté habilitado si los firewalls están en su lugar. Esto permite que las identidades administradas accedan a estos servicios, incluso cuando se configuran los firewalls [3].
5. Monitoreo y auditoría: monitoree y audite regularmente las actividades realizadas por identidades administradas para garantizar que estén operando dentro de los límites esperados. Esto es particularmente importante para fines de cumplimiento y auditoría de seguridad [5].
6. Agrupación de recursos: si los recursos múltiples requieren acceso al mismo conjunto de recursos, considere usar una identidad asignada por el usuario. Sin embargo, si cada recurso necesita permisos únicos o debe eliminarse con el recurso, las identidades asignadas al sistema son más adecuadas [2] [5].
En el contexto de las configuraciones de firewall, asegúrese de que cualquier identidad administrada utilizada para la autenticación o el acceso esté configurado correctamente para trabajar con las reglas y configuraciones de firewall, permitiendo el tráfico necesario mientras mantiene la seguridad.
Citas:
[1] https://docs.fortinet.com/document/fortianalyzer-publiccloud/7.6.0/azure-administration-guide/205385/enable-system-signed-didentity-didentity-and-configure-permissions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-didentities/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-use-service-service-identity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identity-azure-resources/managed-identity-best-practice-retomes
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-identity-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/