Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Có bất kỳ thực tiễn tốt nhất nào để sử dụng danh tính được quản lý được chỉ định bởi hệ thống với cấu hình tường lửa


Có bất kỳ thực tiễn tốt nhất nào để sử dụng danh tính được quản lý được chỉ định bởi hệ thống với cấu hình tường lửa


Khi sử dụng danh tính được quản lý được chỉ định bởi hệ thống với các cấu hình tường lửa trong Azure, một số thực tiễn tốt nhất có thể được áp dụng:

1. Nguyên tắc của đặc quyền ít nhất: Đảm bảo rằng danh tính được quản lý chỉ được cấp các quyền cần thiết để thực hiện các nhiệm vụ của mình. Điều này làm giảm nguy cơ truy cập trái phép nếu danh tính bị xâm phạm. Ví dụ: nếu một danh tính được quản lý cần đọc dữ liệu từ tài khoản lưu trữ, nó sẽ không có quyền ghi trừ khi cần thiết [5].

2. Quản lý vòng đời: Danh tính được chỉ định hệ thống được gắn với vòng đời của tài nguyên. Điều này có nghĩa là chúng được tự động xóa khi tài nguyên bị xóa, điều này có thể đơn giản hóa việc quản lý nhưng yêu cầu lập kế hoạch cẩn thận cho các nhiệm vụ. Đảm bảo rằng các bài tập vai trò được tạo và quản lý một cách thích hợp trong quá trình triển khai tài nguyên [5].

3. Kiểm soát truy cập dựa trên vai trò (RBAC): Sử dụng Azure RBAC để quản lý quyền cho các danh tính được chỉ định bởi hệ thống. Điều này cho phép kiểm soát chi tiết đối với những hành động mà danh tính có thể thực hiện trên tài nguyên Azure [1].

4 Điều này cho phép các danh tính được quản lý truy cập các dịch vụ này ngay cả khi tường lửa được cấu hình [3].

5. Giám sát và kiểm toán: Thường xuyên giám sát và kiểm toán các hoạt động được thực hiện bởi các danh tính được quản lý để đảm bảo chúng hoạt động trong các ranh giới dự kiến. Điều này đặc biệt quan trọng đối với mục đích kiểm toán tuân thủ và bảo mật [5].

6. Nhóm tài nguyên: Nếu nhiều tài nguyên yêu cầu truy cập vào cùng một bộ tài nguyên, thay vào đó hãy xem xét sử dụng danh tính do người dùng gán. Tuy nhiên, nếu mỗi tài nguyên cần các quyền duy nhất hoặc nên bị xóa với tài nguyên, danh tính được chỉ định hệ thống phù hợp hơn [2] [5].

Trong bối cảnh cấu hình tường lửa, đảm bảo rằng mọi danh tính được quản lý được sử dụng để xác thực hoặc truy cập được cấu hình đúng để làm việc với các quy tắc và cài đặt tường lửa, cho phép lưu lượng truy cập cần thiết trong khi duy trì bảo mật.

Trích dẫn:
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administration-guide/205385/enable-system-assigned-managed-identity-and-configure-permissions
.
[3] https://docs.azure.cn/en-us/api-man quản lý
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformanf