Izmantojot sistēmu projektētās pārvaldītās identitātes ar ugunsmūra konfigurācijām Azure, var izmantot vairākas labākās prakses:
1. Vismazāko privilēģiju princips: Pārliecinieties, ka pārvaldītajai identitātei tiek piešķirtas tikai nepieciešamās atļaujas, lai veiktu savus uzdevumus. Tas samazina neatļautas piekļuves risku, ja identitāte tiek apdraudēta. Piemēram, ja pārvaldītajai identitātei ir jāizlasa dati no krātuves konta, tai nevajadzētu būt rakstīšanas atļaujām, ja vien tas nav nepieciešams [5].
2. Dzīves cikla pārvaldība: Sistēmas piešķirtās identitātes ir saistītas ar resursa dzīves ciklu. Tas nozīmē, ka tie tiek automātiski izdzēsti, izdzēšot resursus, kas var vienkāršot pārvaldību, bet prasa rūpīgu lomu uzdevumu plānošanai. Pārliecinieties, ka lomu uzdevumi tiek izveidoti un atbilstoši pārvaldīti resursu izvietošanas laikā [5].
3. Uz lomu balstīta piekļuves kontrole (RBAC): Izmantojiet Azure RBAC, lai pārvaldītu atļaujas sistēmai paredzētām identitātēm. Tas ļauj precīzi kontrolēt, kādas darbības identitāte var veikt Azure resursus [1].
4. Uzticamie pakalpojumi: izmantojot sistēmas izstrādātas identitātes ar tādiem pakalpojumiem kā Azure Key Vault vai Azure Storage, pārliecinieties, vai ir iespējota opcija “Atļaut uzticamiem Microsoft pakalpojumiem apiet šo ugunsmūri”, ja ir ieviesti ugunsmūra. Tas ļauj pārvaldītajām identitātēm piekļūt šiem pakalpojumiem pat tad, ja tiek konfigurēti ugunsmūra [3].
5. Monitorings un revīzija: regulāri uzraugiet un revīzijas darbības, ko veic pārvaldītās identitātes, lai pārliecinātos, ka tās darbojas paredzamajās robežās. Tas ir īpaši svarīgi atbilstības un drošības revīzijas nolūkos [5].
6. Resursu grupēšana: ja vairākiem resursiem ir nepieciešama piekļuve vienam un tam pašam resursu kopumam, apsveriet iespēju izmantot lietotāju piešķirtu identitāti. Tomēr, ja katram resursam ir vajadzīgas unikālas atļaujas vai arī tie būtu jādzēš ar resursu, sistēmas noteiktajām identitātēm ir piemērotākas [2] [5].
Ugunsmūra konfigurāciju kontekstā pārliecinieties, ka jebkura pārvaldīta autentifikācijas vai piekļuves pārvaldītā identitāte ir pareizi konfigurēta darbam ar ugunsmūra noteikumiem un iestatījumiem, ļaujot veikt nepieciešamo trafiku, saglabājot drošību.
Atsauces:
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administration-guide/205385/enable-system-assigned-managed-identity-and-configure-permistions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[3] https://docs.azure.cn/en-us/api-management/api- Management-howto-use-menaged-service-identity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-pracice-receptionations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practsices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/