Ensure that 'Access Policies' are Implemented and Reviewed
Защо Това Има Значение
Без политики за достъп всеки удостоверен потребител или услуга може да изпълнява произволни команди в Redis, което създава значителен рискове за сигурността. Като не внедрявате контрол на достъпа на база роли (Role Based Access Control – RBAC), губите възможността да прилагате принципа на най-малкото привилегировано действие, което означава, че потребителите може да имат ненужен достъп до чувствителни данни или разрушителни команди. Това увеличава повърхността за атака и прави неоторизираното разкриване на данни или случайната загуба на информация по-вероятни.
Какво Проверява Aether365
Aether365 проверява дали са конфигурирани политики за достъп, използващи RBAC, за всеки екземпляр на Azure Cache for Redis. Тази проверка се появява в таблото Aether365 в секцията за сканиране на сигурността за azure-cache-for-redis.
Как да Отстраните
- Влезте в Azure Portal и навигирайте до вашия ресурс Azure Cache for Redis.
- В левото меню изберете Access Control (IAM).
- Под Role Assignments прегледайте съществуващите присвоявания и добавете нови, ако е необходимо, като използвате вградени роли като Reader, Contributor или специфичните за Redis роли Data Owner и Data Reader.
- За по-фин контрол създайте потребителски роли чрез Azure RBAC, които ограничават разрешенията до конкретни Redis команди или ключове за данни.
- Планирайте периодични одити на достъпа (access reviews), за да одитирате всички идентичности в списъка за контрол на достъпа и да премахнете ненужни или остарели разрешения.
Въпреки че няма единствен предписан път за отстраняване поради различната сложност на средата, тези стъпки представляват стандартния подход за внедряване на RBAC. Започнете с внимателен анализ на това кой има нужда от достъп и какви команди или данни са им необходими, след което приложете роли съответно.
Съответствие
- CIS Microsoft Azure Database Services 2.0.0 Раздел 2.4 (Ниво 2)
- CIS Microsoft Azure Foundations Benchmark