Enable Role Based Access Control for Azure Key Vault
Proč na tom záleží
Pokud není u trezorů klíčů Azure povoleno RBAC, jsou správci omezeni na zásady přístupu k trezoru, což často vede k příliš širokým oprávněním a postrádá granulární řízení potřebné pro bezpečný provoz. Tím se zvyšuje riziko neoprávněného přístupu k citlivým klíčům, tajným kódům a certifikátům. Přijetím Azure RBAC můžete prosadit just-in-time (JIT) správu přístupu a snížit útočnou plochu díky detailním přiřazením rolí.
Co Aether365 kontroluje
Tato kontrola ověřuje, zda má každý trezor klíčů Azure nastavený model oprávnění na řízení přístupu na základě rolí (RBAC) Azure. Objevuje se na vašem řídicím panelu Aether365 v kategorii kontrol azure-azure-keyvault.
Jak to opravit
Chcete-li povolit Azure RBAC pro stávající trezor klíčů:
- Na portálu Azure Portal otevřete nabídku v levém horním rohu a vyberte Key Vaults.
- Vyberte trezor klíčů, který chcete auditovat.
- V levém panelu vyberte Access configuration.
- V části Permission model vyberte přepínač Azure role-based access control. Pečlivě si přečtěte varovnou zprávu o možném narušení služby.
- Kliknutím na Save změnu uložíte.
- Po uložení přejděte na Access control (IAM).
- Otevřete kartu Role assignments.
- Podle potřeby znovu přiřaďte oprávnění uživatelům, skupinám nebo instančním objektům, aby odpovídala vašim bezpečnostním požadavkům.
Pečlivě naplánujte migraci včetně mapování stávajících zásad přístupu k trezoru na ekvivalentní role Azure RBAC, abyste minimalizovali výpadky. Oprávnění budou během přechodu znovu aplikována.
Soulad
- CIS Microsoft Azure Foundations 3.0.0, oddíl 3.3.3 (úroveň 2)
Související zdroje
- Azure Key Vault RBAC Migration Guide
- Assign Azure Roles Using the Portal
- What is Azure RBAC?
- Microsoft Cloud Security Benchmark DP-8