Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon มีแนวทางปฏิบัติที่ดีที่สุดสำหรับการใช้ข้อมูลประจำตัวที่ได้รับการจัดการระบบด้วยการกำหนดค่าไฟร์วอลล์


มีแนวทางปฏิบัติที่ดีที่สุดสำหรับการใช้ข้อมูลประจำตัวที่ได้รับการจัดการระบบด้วยการกำหนดค่าไฟร์วอลล์


เมื่อใช้ข้อมูลประจำตัวที่ได้รับการจัดการระบบพร้อมการกำหนดค่าไฟร์วอลล์ใน Azure สามารถใช้แนวทางปฏิบัติที่ดีที่สุดได้หลายประการ:

1. หลักการของสิทธิพิเศษน้อยที่สุด: ตรวจสอบให้แน่ใจว่าตัวตนที่ได้รับการจัดการนั้นได้รับอนุญาตเฉพาะที่จำเป็นในการปฏิบัติงาน สิ่งนี้จะช่วยลดความเสี่ยงของการเข้าถึงที่ไม่ได้รับอนุญาตหากตัวตนถูกบุกรุก ตัวอย่างเช่นหากข้อมูลประจำตัวที่ได้รับการจัดการจำเป็นต้องอ่านข้อมูลจากบัญชีจัดเก็บข้อมูลก็ไม่ควรมีสิทธิ์เขียนเว้นแต่จำเป็น [5]

2. การจัดการวงจรชีวิต: อัตลักษณ์ที่กำหนดระบบเชื่อมโยงกับวงจรชีวิตของทรัพยากร ซึ่งหมายความว่าพวกเขาจะถูกลบโดยอัตโนมัติเมื่อทรัพยากรถูกลบซึ่งสามารถทำให้การจัดการง่ายขึ้น แต่ต้องมีการวางแผนอย่างรอบคอบสำหรับการกำหนดบทบาท ตรวจสอบให้แน่ใจว่าการกำหนดบทบาทถูกสร้างและจัดการอย่างเหมาะสมในระหว่างการปรับใช้ทรัพยากร [5]

3. การควบคุมการเข้าถึงตามบทบาท (RBAC): ใช้ Azure RBAC เพื่อจัดการสิทธิ์สำหรับข้อมูลประจำตัวที่กำหนดระบบ สิ่งนี้ช่วยให้สามารถควบคุมเม็ดได้ว่าการกระทำที่ตัวตนสามารถทำได้ในทรัพยากร Azure [1]

4. บริการที่เชื่อถือได้: เมื่อใช้ข้อมูลประจำตัวที่ได้รับการกำหนดระบบกับบริการเช่น Azure Key Vault หรือ Azure Storage ให้แน่ใจว่า "อนุญาตให้บริการ Microsoft ที่เชื่อถือได้เพื่อข้ามไฟร์วอลล์นี้" จะเปิดใช้งานหากไฟร์วอลล์อยู่ในสถานที่ สิ่งนี้จะช่วยให้ข้อมูลประจำตัวที่ได้รับการจัดการสามารถเข้าถึงบริการเหล่านี้ได้แม้ว่าจะมีการกำหนดค่าไฟร์วอลล์ [3]

5. การตรวจสอบและการตรวจสอบ: ตรวจสอบและตรวจสอบกิจกรรมที่ดำเนินการโดยตัวตนที่มีการจัดการเป็นประจำเพื่อให้แน่ใจว่าพวกเขากำลังดำเนินงานภายในขอบเขตที่คาดหวัง สิ่งนี้มีความสำคัญอย่างยิ่งสำหรับการปฏิบัติตามกฎระเบียบและการตรวจสอบความปลอดภัย [5]

6. การจัดกลุ่มทรัพยากร: หากทรัพยากรหลายทรัพยากรต้องการการเข้าถึงชุดทรัพยากรเดียวกันให้พิจารณาโดยใช้ข้อมูลประจำตัวที่ผู้ใช้กำหนดแทน อย่างไรก็ตามหากทรัพยากรแต่ละทรัพยากรต้องการสิทธิ์ที่ไม่ซ้ำกันหรือควรถูกลบด้วยทรัพยากรตัวตนที่กำหนดระบบจะเหมาะสมกว่า [2] [5]

ในบริบทของการกำหนดค่าไฟร์วอลล์ตรวจสอบให้แน่ใจว่าตัวตนที่มีการจัดการใด ๆ ที่ใช้สำหรับการรับรองความถูกต้องหรือการเข้าถึงได้รับการกำหนดค่าอย่างเหมาะสมให้ทำงานกับกฎและการตั้งค่าไฟร์วอลล์ซึ่งช่วยให้การรับส่งข้อมูลที่จำเป็นในขณะที่รักษาความปลอดภัย

การอ้างอิง:
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administration-guide/205385/enable-system-ymigned-managed-identity-and-configure-permissions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[3] https://docs.azure.cn/en-us/api-management/api-Management-howto-use-managed-service-identity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/