Kai „Azure“ naudoja sistemą skirtas valdomas tapatybes su ugniasienės konfigūracijomis, galima pritaikyti keletą geriausių praktikų:
1. Mažiausiai privilegijos principas: Užtikrinkite, kad valdomam tapatybei būtų suteikta tik būtini leidimai atlikti savo užduotis. Tai sumažina neteisėtos prieigos riziką, jei tapatumas bus pažeistas. Pvz., Jei valdomam tapatybei reikia skaityti duomenis iš saugyklos paskyros, ji neturėtų būti rašymo leidimų, nebent būtina [5].
2. Gyvenimo ciklo valdymas: Sistemos paskyrimo tapatybės yra susietos su šaltinio gyvavimo ciklu. Tai reiškia, kad jie automatiškai ištrinami ištrynus šaltinį, o tai gali supaprastinti valdymą, tačiau reikia atidžiai planuoti vaidmenų priskyrimą. Įsitikinkite, kad vaidmenų užduotys yra sukurtos ir tinkamai valdomos dislokuojant išteklius [5].
3. Vaidmenims pagrįsta prieigos kontrolė (RBAC): naudokite „Azure RBAC“, kad valdytumėte leidimus sistemai pasirašytoms tapatybėms. Tai leidžia granuliuotai kontroliuoti, kokius veiksmus tapatumas gali atlikti su „Azure“ ištekliais [1].
4. Patikimos paslaugos: Kai naudojate sistemą skirtas tapatybes su tokiomis paslaugomis kaip „Azure Key Vault“ ar „Azure Storage“, įsitikinkite, kad „Leiskite patikimoms„ Microsoft “paslaugoms apeiti šią ugniasienę“, jei yra ugniasienės. Tai leidžia valdomoms tapatybėms pasiekti šias paslaugas net ir sukonfigūravus ugniasienes [3].
5. Stebėjimas ir auditas: reguliariai stebėkite ir audituokite valdomų tapatybių veiklą, kad jos veiktų numatomose ribose. Tai ypač svarbu atitikties ir saugumo audito tikslams [5].
6. Šaltinių grupavimas: Jei keliems ištekliams reikia prieigos prie to paties išteklių rinkinio, apsvarstykite galimybę naudoti vartotojo paskirtą tapatybę. Tačiau jei kiekvienam šaltiniui reikia unikalių leidimų arba turėtų būti ištrinti su šaltiniu, sistemai paskirtos tapatybės yra tinkamesnės [2] [5].
Ugniasienės konfigūracijose įsitikinkite, kad bet kokios valdomos tapatybės, naudojamos autentifikavimui ar prieigai, būtų tinkamai sukonfigūruotos dirbti su ugniasienės taisyklėmis ir nustatymais, leisdami reikalingą srautą išlaikant saugumą.
Citatos:
[1] https://docs.fortinet.com/document/fortianalyzer-gublic-Cloud/7.6.0/azure-administration-guide/205385/enable-system-aSsigned-langed-dentity ir-configure-Permissions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-eSsigned-langed-didtities/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-use-shited-service-entity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-dentitity-azure-resources/managed-dentity-best-praktice-recomendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-dentitity-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/