Saat menggunakan identitas terkelola yang ditugaskan sistem dengan konfigurasi firewall di Azure, beberapa praktik terbaik dapat diterapkan:
1. Prinsip Privilege Paling Lain: Pastikan bahwa identitas yang dikelola hanya diberikan izin yang diperlukan untuk melakukan tugasnya. Ini mengurangi risiko akses tidak sah jika identitas dikompromikan. Misalnya, jika identitas yang dikelola perlu membaca data dari akun penyimpanan, seharusnya tidak memiliki izin menulis kecuali diperlukan [5].
2. Manajemen Siklus Hidup: Identitas yang ditugaskan sistem terkait dengan siklus hidup sumber daya. Ini berarti mereka secara otomatis dihapus ketika sumber daya dihapus, yang dapat menyederhanakan manajemen tetapi membutuhkan perencanaan yang cermat untuk penugasan peran. Pastikan bahwa penugasan peran dibuat dan dikelola dengan tepat selama penyebaran sumber daya [5].
3. Kontrol Akses Berbasis Peran (RBAC): Gunakan Azure RBAC untuk mengelola izin untuk identitas yang ditugaskan sistem. Ini memungkinkan kontrol granular atas tindakan apa yang dapat dilakukan identitas pada sumber daya Azure [1].
4. Layanan Tepercaya: Saat menggunakan identitas yang ditugaskan oleh sistem dengan layanan seperti Azure Key Vault atau Azure Storage, pastikan bahwa opsi "Izinkan Microsoft Tepercaya untuk memotong opsi firewall ini" diaktifkan jika firewall sudah ada. Ini memungkinkan identitas yang dikelola untuk mengakses layanan ini bahkan ketika firewall dikonfigurasi [3].
5. Pemantauan dan Audit: Secara teratur memantau dan mengaudit kegiatan yang dilakukan oleh identitas yang dikelola untuk memastikan mereka beroperasi dalam batas yang diharapkan. Ini sangat penting untuk tujuan audit kepatuhan dan keamanan [5].
6. Pengelompokan Sumber Daya: Jika beberapa sumber daya memerlukan akses ke serangkaian sumber daya yang sama, pertimbangkan untuk menggunakan identitas yang ditugaskan pengguna. Namun, jika setiap sumber daya membutuhkan izin unik atau harus dihapus dengan sumber daya, identitas yang ditetapkan oleh sistem lebih cocok [2] [5].
Dalam konteks konfigurasi firewall, pastikan bahwa setiap identitas yang dikelola yang digunakan untuk otentikasi atau akses dikonfigurasi dengan benar untuk bekerja dengan aturan dan pengaturan firewall, memungkinkan lalu lintas yang diperlukan sambil menjaga keamanan.
Kutipan:
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administration-guide/205385/enable-system-onitched-mungil-identity-and-configure-missions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-masgned-anagaged-identities/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-use-anaged-service-identity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/Managed-identities-azure-resources/Managed-identity-best-practice-recommendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/Managed-identities-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/