No Service Principal with Client Secret and permanent role assignment on Control Plane
Proč na tom záleží
Instanční objekty (service principals) s klientskými tajemstvími (client secrets) a trvalým přiřazením vysoce privilegovaných rolí v rovině řízení (control plane) představují značné bezpečnostní riziko. Pokud dojde ke kompromitaci klientského tajemství, útočník může získat trvalý zvýšený přístup k vašemu prostředí Azure. Použití certifikátů s kratší životností nebo spravovaných identit (managed identities) tuto útočnou plochu snižuje a je v souladu s principy nejnižších oprávnění.
Co Aether365 kontroluje
Tato kontrola prohledává instanční objekty ve vašem tenantovi Microsoft 365, které mají současně nakonfigurované klientské tajemství a trvalé přiřazení k vysoce privilegované roli v rovině řízení Azure. Zobrazuje se ve vašem dashboardu Aether365 v kategorii kontrol microsoft-365.
Jak to opravit
- Identifikujte instanční objekt z výstrahy Aether365 a poznamenejte si jeho registraci aplikace.
- Zvažte, zda lze instanční objekt zcela nahradit spravovanou identitou (managed identity) pro ověřování prostředků Azure.
- Pokud je instanční objekt nezbytný, přejděte na Azure Portal a vyberte Azure Active Directory > App registrations.
- Vyberte registraci aplikace pro instanční objekt, přejděte na Certificates and secrets a odstraňte klientské tajemství.
- Na kartu Certificates nahrajte certifikát (X.509) místo použití klientského tajemství.
- Certifikát pravidelně obměňujte pomocí plánu nebo automatizačního kanálu.
- U přiřazení vysoce privilegované role zvažte použití přístupu just-in-time (JIT) prostřednictvím Privileged Identity Management namísto trvalého přiřazení.
Compliance
- Žádné přímé citace, ale je v souladu s doporučením CIS a CISA pro bezpečnost přihlašovacích údajů a princip nejnižších oprávnění.
Související zdroje
- Managed identities for Azure resources
- Use certificates for Azure AD application authentication
- What is Privileged Identity Management?