当使用Azure中的防火墙配置使用系统分配的托管身份时,可以应用几种最佳实践:
1。特权的原则:确保仅授予托管身份的必要权限来执行其任务。如果身份受到损害,这会降低未经授权访问的风险。例如,如果托管身份需要从存储帐户读取数据,则除非必要,否则它不应具有写入权限[5]。
2。生命周期管理:系统分配的身份与资源的生命周期相关。这意味着在删除资源时会自动删除它们,这可以简化管理,但需要仔细计划角色分配。确保在资源部署期间适当地创建和管理角色分配[5]。
3。基于角色的访问控制(RBAC):使用Azure RBAC来管理系统分配的身份的权限。这允许对身份在Azure资源上可以执行的操作进行颗粒状的控制[1]。
4。值得信赖的服务:使用系统分配的身份与Azure密钥保险库或Azure存储等服务时,请确保“允许受信任的Microsoft服务绕过此防火墙”选项,如果设有防火墙,则可以启用。这允许托管身份即使配置了防火墙,也可以访问这些服务[3]。
5。监视和审核:定期监视和审核托管身份执行的活动,以确保它们在预期的边界内运行。这对于合规性和安全审计目的尤为重要[5]。
6.资源分组:如果多个资源需要访问相同的资源集,请考虑使用用户分配的身份。但是,如果每个资源需要唯一的权限或应使用资源删除,则系统分配的身份更合适[2] [5]。
在防火墙配置的背景下,确保适当配置用于身份验证或访问的任何托管身份,以使用防火墙规则和设置,从而在维护安全性的同时允许必要的流量。
引用:
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administration-guide/205385/enable-syable-system-system-managed-managed-managed-nistity-inderity-inderity-inderity-andistity-andistity-and-configure-permissions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-yser-asherd-managed-indistities/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-use-managed-service-indistity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/enterity/managed-indiestities-indentities-indiesities-iendities-iendities-iendity-siondity-nidecy-indendity-best-best-practice-ractice-ractice-recmmentations
[6] https://sec.cloudapps.cisco.com/security/center/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/indentity/managed-indentities-indentities-ientities-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/