Ha rendszerbe hozzákendezett kezelt identitásokat használ a tűzfalkonfigurációkkal az Azure-ban, számos bevált gyakorlat alkalmazható:
1. A legkevesebb kiváltság alapelve: Gondoskodjon arról, hogy a kezelt személyazonosság csak a szükséges engedélyeket kapja a feladatok elvégzéséhez. Ez csökkenti az illetéktelen hozzáférés kockázatát, ha az identitás veszélybe kerül. Például, ha a kezelt identitásnak el kell olvasnia az adatokat egy tárolási fiókból, akkor csak akkor kell írási engedélyekkel rendelkeznie, ha szükséges [5].
2. életciklus-kezelés: A rendszerhez igazított identitások az erőforrás életciklusához kapcsolódnak. Ez azt jelenti, hogy az erőforrás törlésekor automatikusan törölnek, ami egyszerűsítheti a menedzsmentet, de a szerepfeladatok gondos tervezését igényli. Gondoskodjon arról, hogy a szerepfeladatok hozzák létre és megfelelő módon kezeljék az erőforrás -telepítés során [5].
3. Szerep-alapú hozzáférés-vezérlés (RBAC): Az Azure RBAC segítségével kezelje a rendszerhez beállított identitásokhoz szükséges engedélyeket. Ez lehetővé teszi a szemcsés irányítást az Azure -erőforrásokon az identitás milyen tevékenységek felett [1].
4. megbízható szolgáltatások: Ha rendszerhez igazított identitásokat használnak olyan szolgáltatásokkal, mint az Azure Key Vault vagy az Azure Storage, győződjön meg arról, hogy a "Megbízható Microsoft szolgáltatások megengedik a tűzfal megkerülését" opció engedélyezve van, ha a tűzfalak a helyén vannak. Ez lehetővé teszi a kezelt identitások számára, hogy e szolgáltatásokhoz hozzáférjenek, még akkor is, ha a tűzfalak konfigurálódnak [3].
5. Figyelemmel kísérés és ellenőrzés: Rendszeresen figyelje és ellenőrzi a kezelt identitások által végzett tevékenységeket annak biztosítása érdekében, hogy azok a várt határokon belül működjenek. Ez különösen fontos a megfelelés és a biztonsági ellenőrzés céljából [5].
6. Erőforráscsoportosítás: Ha több erőforráshoz hozzáférést igényel ugyanazon erőforrás-készlethez, akkor fontolja meg a felhasználó által előállított identitás használatát. Ha azonban minden erőforrásnak egyedi engedélyekre van szüksége, vagy az erőforrásokkal törölni kell, akkor a rendszerhez igazított identitások megfelelőbbek [2] [5].
A tűzfalkonfigurációkkal összefüggésben győződjön meg arról, hogy a hitelesítéshez vagy hozzáféréshez használt kezelt identitások megfelelően vannak konfigurálva a tűzfal szabályaival és beállításaival, lehetővé téve a szükséges forgalmat, miközben megőrizik a biztonságot.
Idézetek:
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administration-guide
[2] https://www.redgate.com/simple-talk/cloud/azure/azure-function-and-user-asigned-anaged-identities/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-used-anaged-service-entity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-Firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-entities-azure-resources
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-entities-azure-resources/oveview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/