Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Kas on olemas parimaid tavasid süsteemiga määratud hallatud identiteetidega tulemüüri konfiguratsioonidega


Kas on olemas parimaid tavasid süsteemiga määratud hallatud identiteetidega tulemüüri konfiguratsioonidega


Süsteemiga määratud hallatud identiteedi kasutamisel tulemüüri konfiguratsioonidega Azure'is saab rakendada mitmeid parimaid tavasid:

1. väikseima privileegi põhimõte: veenduge, et hallatavale identiteedile antakse ülesannete täitmiseks ainult vajalikud õigused. See vähendab loata juurdepääsu riski, kui identiteet on ohustatud. Näiteks kui hallatav identiteet peab lugema andmeid salvestuskontolt, ei tohiks sellel olla kirjutamisõigusi, kui see pole vaja [5].

2. Elutsükli juhtimine: süsteemiga määratud identiteedid on seotud ressursi elutsükliga. See tähendab, et need kustutatakse automaatselt ressursi kustutamisel, mis võib juhtimist lihtsustada, kuid nõuab rolliülesannete hoolikat kavandamist. Veenduge, et rolliülesanded luuakse ja hallataks ressursside juurutamise ajal asjakohaselt [5].

3. Rollipõhine juurdepääsukontroll (RBAC): kasutage Azure RBAC-i, et hallata süsteemiga seotud identiteetide õigusi. See võimaldab granuleeritud kontrolli selle üle, milliseid toiminguid identiteeti saab Azure'i ressurssides läbi viia [1].

4. Usaldusväärsed teenused: kui kasutate süsteemiga määratletud identiteete selliste teenustega nagu Azure Key Vault või Azure Storage, veenduge, et "lubage usaldusväärsetel Microsofti teenustel sellest tulemüürist mööda minna", on lubatud, kui tulemüürid on paigas. See võimaldab hallatavatel identiteetidel neile teenustele juurde pääseda ka siis, kui tulemüürid on konfigureeritud [3].

5. Jälgimine ja auditeerimine: regulaarselt jälgida ja auditeerida hallatava identiteedi tehtud tegevusi, et tagada nende töö eeldatavate piiride piires. See on eriti oluline vastavuse ja turvalisuse auditeerimise eesmärgil [5].

6. Ressursside rühmitamine: kui mitu ressurssi vajavad juurdepääsu samale ressursside komplektile, kaaluge selle asemel kasutaja määratud identiteedi kasutamist. Kui iga ressurss vajab ainulaadseid õigusi või tuleks ressursiga kustutada, on süsteemikasutatud identiteedid sobivamad [2] [5].

Tulemüüri konfiguratsioonide kontekstis veenduge, et autentimiseks või juurdepääsuks kasutatavad hallatud identiteedid on korralikult konfigureeritud tulemüürireeglite ja sätetega töötamiseks, võimaldades vajalikku liiklust, säilitades samal ajal turvalisuse.

Tsitaadid:
]
]
]
]
]
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
]
]