Pri používaní riadených identity pridelených systémom s konfiguráciami brány firewall v Azure je možné uplatniť niekoľko osvedčených postupov:
1. Princíp najmenších privilégií: Zabezpečte, aby sa riadenej identite udelila iba potrebné povolenia na vykonávanie jeho úloh. To znižuje riziko neoprávneného prístupu, ak je identita ohrozená. Napríklad, ak spravovaná identita potrebuje čítať údaje z účtu úložného priestoru, nemala by mať povolenie na zápis, pokiaľ to nie je potrebné [5].
2. Správa životného cyklu: Identity pridelené systémom sú spojené so životným cyklom zdroja. To znamená, že sa automaticky odstránia, keď je zdroj odstránený, čo môže zjednodušiť správu, ale vyžaduje si starostlivé plánovanie úloh rolí. Zaistite, aby sa pri zavádzaní zdrojov vytvorili a spravovali primerané úlohy úlohy [5].
3. Riadenie prístupu založeného na role (RBAC): Na správu povolení pre identity pridelené systémom použite Azure RBAC. To umožňuje podrobnú kontrolu nad tým, aké akcie môžu identita vykonávať na zdrojoch Azure [1].
4. Dôveryhodné služby: Pri používaní identity pridelených systémmi so službami ako Azure Key Vault alebo Azure Storage sa uistite, že ak sú firewall zavedené, „Povoliť dôveryhodným službám spoločnosti Microsoft obísť tento firewall“. To umožňuje spravovaným identitám prístup k týmto službám, aj keď sú konfigurované brány firewall [3].
5. Monitorovanie a audit: Pravidelne monitorujte a audit činnosti vykonávaných riadenými identitami, aby sa zabezpečilo, že fungujú v očakávaných hraniciach. Toto je obzvlášť dôležité pre účely dodržiavania predpisov a bezpečnostného auditu [5].
6. Zoskupenie zdrojov: Ak viac zdrojov vyžaduje prístup k rovnakej súbore zdrojov, zvážte namiesto toho použitie identity pridelenej používateľom. Ak však každý zdroj potrebuje jedinečné povolenia alebo by sa mal vymazať so zdrojom, identity pridelené systémom sú vhodnejšie [2] [5].
V kontexte konfigurácií firewall sa uistite, že akékoľvek spravované identity používané na autentifikáciu alebo prístup sú správne nakonfigurované tak, aby pracovali s pravidlami a nastaveniami brány firewall, čo umožňuje potrebnú návštevnosť pri zachovaní bezpečnosti.
Citácie:
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administration-guide/205385/enable-system-assigned-maned-managed-identity-and-configure-permissions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-use-managed-service-Identity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identies-azure-resources/Managed-identity-best-practice-cordmencations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-identies-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/