Pri uporabi upravljanih identitet, dodeljenih sistemu s konfiguracijami požarnega zidu v Azure, je mogoče uporabiti več najboljših praks:
1. načelo najmanj privilegij: zagotovite, da je upravljana identiteta dodeljena le potrebna dovoljenja za opravljanje svojih nalog. To zmanjšuje tveganje za nepooblaščen dostop, če je identiteta ogrožena. Na primer, če mora upravljana identiteta brati podatke iz računa za shranjevanje, ne bi smela imeti dovoljenj za pisanje, če ni potrebno [5].
2. Upravljanje življenjskega cikla: Sistemsko dodeljene identitete so vezane na življenjski cikel vira. To pomeni, da se samodejno izbrišejo, ko se vir izbriše, kar lahko poenostavi upravljanje, vendar zahteva skrbno načrtovanje dodelitev vlog. Zagotovite, da se dodelitve vlog ustvarijo in upravljajo ustrezno med uvajanjem virov [5].
3. Nadzor dostopa, ki temelji na vlogah (RBAC): Uporabite Azure RBAC za upravljanje dovoljenj za sistemske identitete sistema. To omogoča natančen nadzor nad kakšnimi dejanji lahko identiteta izvede na Azure Resources [1].
4. Zaupanja vredne storitve: Pri uporabi sistemskih identitet s storitvami, kot sta Azure Key Vault ali Azure Storage, zagotovite, da je omogočena možnost "Dovoli, da zaobidejo ta požarni zid", če so požarni zidovi. To omogoča upravljane identitete za dostop do teh storitev, tudi ko so konfigurirani požarni zidovi [3].
5. Nadzor in revizija: Redno spremljajte in revidirajo dejavnosti, ki jih izvajajo upravljane identitete, da se zagotovi, da delujejo v pričakovanih mejah. To je še posebej pomembno za namene revidiranja skladnosti in varnosti [5].
6. Razvrščanje virov: Če več virov zahteva dostop do istega nabora virov, namesto tega uporabite uporabniško identiteto. Če pa vsak vir potrebuje edinstvena dovoljenja ali ga je treba izbrisati z virom, so identitete, dodeljene sistemu, primernejše [2] [5].
V okviru konfiguracij požarnega zidu zagotovite, da so vsaka upravljana identiteta, ki se uporablja za preverjanje pristnosti ali dostopa, pravilno konfigurirana za delo s pravili in nastavitvami požarnega zidu, kar omogoča potreben promet, hkrati pa ohranja varnost.
Navedbe:
[1] https://docs.fortinet.com/document/fortianalyzer-public-coloud/7.6.0/azure-administration-guide/205385/enable-system-assigned-anaged-identy-and-configure-permissions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identes/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-use-managed-Service-identy
[4] https://learn.microsoft.com/en-us/security/Benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identy/managed-identity-azure-resources/managed-identity-best-practice-reComventions
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identy/managed-identity-azure-resources/overview
[8] https://rendmicro.com/cloudoneconformity/knowledge-base/azure/