Azure'da güvenlik duvarı konfigürasyonlarıyla sistem atanmış yönetilen kimlikleri kullanırken, en iyi uygulamalar uygulanabilir:
1. En az ayrıcalık ilkesi: Yönetilen kimliğin yalnızca görevlerini yerine getirmek için gerekli izin verildiğinden emin olun. Bu, kimlik tehlikeye girerse yetkisiz erişim riskini azaltır. Örneğin, yönetilen bir kimliğin bir depolama hesabından veri okuması gerekiyorsa, gerekmedikçe yazma izinleri olmamalıdır [5].
2. Yaşam döngüsü yönetimi: Sistem tarafından atanan kimlikler, kaynağın yaşam döngüsüne bağlıdır. Bu, kaynak silindiğinde otomatik olarak silinildikleri anlamına gelir, bu da yönetimi basitleştirebilir, ancak rol atamaları için dikkatli bir planlama gerektirir. Kaynak dağıtım sırasında rol atamalarının uygun şekilde oluşturulduğundan ve yönetildiğinden emin olun [5].
3. Rol Tabanlı Erişim Kontrolü (RBAC): Sistem tarafından atanan kimlikler için izinleri yönetmek için Azure RBAC kullanın. Bu, kimliğin Azure kaynakları üzerinde hangi eylemleri gerçekleştirebileceği üzerinde ayrıntılı bir kontrol sağlar [1].
4. Güvenilir Hizmetler: Azure Key Vault veya Azure depolama gibi hizmetlerle sistem atanmış kimlikleri kullanırken, güvenlik duvarları mevcutsa "Güvenilir Microsoft hizmetlerinin bu güvenlik duvarını atlamasına izin verin" seçeneğinin etkin olduğundan emin olun. Bu, yönetilen kimliklerin güvenlik duvarları yapılandırıldığında bile bu hizmetlere erişmesini sağlar [3].
5. İzleme ve denetim: Beklenen sınırlar dahilinde çalıştıklarından emin olmak için yönetilen kimlikler tarafından yapılan faaliyetleri düzenli olarak izleyin ve denetleyin. Bu özellikle uyumluluk ve güvenlik denetim amaçları için önemlidir [5].
6. Kaynak Gruplama: Birden fazla kaynak aynı kaynak kümesine erişim gerektiriyorsa, bunun yerine kullanıcı atanan bir kimlik kullanmayı düşünün. Bununla birlikte, her kaynağın benzersiz izinlere ihtiyacı varsa veya kaynakla silinmesi durumunda, sistem atanan kimlikler daha uygundur [2] [5].
Güvenlik duvarı yapılandırmaları bağlamında, kimlik doğrulama veya erişim için kullanılan yönetilen kimliklerin güvenlik duvarı kuralları ve ayarları ile çalışmak üzere düzgün bir şekilde yapılandırıldığından ve güvenliği korurken gerekli trafiğe izin verdiğinden emin olun.
Alıntılar:
[1] https://docs.fortinet.com/document/fortanalyzer-public-cloud/7.6.0/azure-dministration-guide/205385/enable-system-ssigned-managed-entiity-and-configure-persmisions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-fonction-and-says-ssigned-anned-ridentities/
[3] https://docs.azure.cn/en-us/api-mangement/api-management-howto-usegaged-service-endenity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-enties-sure-resources/managed-enticity-best-practice-recommendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-enties-sure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/