Enable Role Based Access Control for Azure Key Vault
Защо това е важно
Без активиран Azure RBAC върху Key Vaults, администраторите са ограничени до политики за достъп до хранилището, които често водят до прекалено широки разрешения и липсва фина настройка, необходима за сигурна работа. Това увеличава риска от неоторизиран достъп до чувствителни ключове, тайни и сертификати. Чрез внедряване на Azure RBAC можете да прилагате управление на достъпа точно навреме (JIT) и да намалите повърхността за атака чрез фино настроени ролеви назначения.
Какво проверява Aether365
Тази проверка установява дали всеки Azure Key Vault има зададен модел на разрешения на базата на ролеви контрол на достъпа (Azure role-based access control - RBAC). Тя се показва в контролния панел на Aether365 под категорията за проверки azure-azure-keyvault.
Как да отстраните
За да активирате Azure RBAC за съществуващ Key Vault:
- В Azure portal отворете менюто от горния ляв ъгъл и изберете Key Vaults.
- Изберете Key Vault, който искате да одитирате.
- В левия панел изберете Access configuration.
- Под Permission model изберете радиобутона Azure role-based access control. Внимателно прочетете предупредителното съобщение за прекъсване на услугата.
- Натиснете Save, за да приложите промяната.
- След записване отидете на Access control (IAM).
- Отворете раздела Role assignments.
- Преназначете разрешения на потребители, групи или service principals според нуждите, за да съответстват на вашите изисквания за сигурност.
Планирайте миграцията внимателно, включително картографиране на текущите политики за достъп до хранилището към еквивалентни Azure RBAC роли, за да минимизирате престоя. Разрешенията ще бъдат приложени отново по време на прехода.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0, Раздел 3.3.3 (Ниво 2)
Свързани ресурси
- Azure Key Vault RBAC Migration Guide
- Assign Azure Roles Using the Portal
- What is Azure RBAC?
- Microsoft Cloud Security Benchmark DP-8