No Service Principal with Client Secret and permanent role assignment on Control Plane
Защо това е важно
Сервизните принципали с клиентски тайни и постоянни високопривилегировани ролеви назначения в контролния равнище представляват значителен риск за сигурността. Ако клиентска тайна бъде компрометирана, нападателят може да запази постоянен повишен достъп до вашата Azure среда. Използването на сертификати с по-кратък срок на валидност или управлявани идентичности намалява тази повърхност за атака и се съобразява с принципите на най-малко привилегии.
Какво проверява Aether365
Тази проверка сканира за сервизни принципали във вашия Microsoft 365 клиент, които имат едновременно конфигурирана клиентска тайна и постоянно назначение към високопривилегирована роля в контролното равнище на Azure. Тя се показва в таблото ви на Aether365 под категорията проверки microsoft-365.
Как да коригирате
- Идентифицирайте сервизния принципал от сигнала в Aether365 и запишете неговата регистрация на приложение.
- Прегледайте дали сервизният принципал може да бъде изцяло заменен с управлявана идентичност (за Azure ресурси) за целите на удостоверяването.
- Ако се изисква сервизен принципал, отидете на Azure Portal и навигирайте до Azure Active Directory > App registrations.
- Изберете регистрацията на приложение за сервизния принципал, отидете на Certificates and secrets и премахнете клиентската тайна.
- Качете сертификат (X.509) в раздела Certificates вместо да използвате клиентска тайна.
- Ротирайте сертификата редовно чрез график или автоматизиран пайплайн.
- За високопривилегированото ролево назначение обмислете използването на just-in-time (JIT) достъп чрез Privileged Identity Management вместо постоянно назначение.
Съответствие
- Няма директно цитирани стандарти, но се съобразява с препоръките на CIS и CISA за сигурност на идентификационни данни и принципа на най-малко привилегии.
Свързани ресурси
- Managed identities for Azure resources
- Use certificates for Azure AD application authentication
- What is Privileged Identity Management?