Enable Role Based Access Control for Azure Key Vault
Γιατί Είναι Σημαντικό
Χωρίς το Azure RBAC ενεργοποιημένο στα Key Vaults, οι διαχειριστές περιορίζονται σε πολιτικές πρόσβασης στο vault, οι οποίες συχνά οδηγούν σε υπερβολικά ευρείες άδειες και στερούνται τη λεπτομερή διαχείριση που απαιτείται για ασφαλείς λειτουργίες. Αυτό αυξάνει τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης σε ευαίσθητα κλειδιά, μυστικά και πιστοποιητικά. Υιοθετώντας το Azure RBAC, μπορείτε να επιβάλλετε διαχείριση πρόσβασης just-in-time (JIT) και να μειώσετε την επιφάνεια επίθεσης μέσω λεπτομερών αναθέσεων ρόλων.
Τι Ελέγχει το Aether365
Αυτός ο έλεγχος επαληθεύει ότι κάθε Azure Key Vault έχει ορίσει το μοντέλο αδειών του σε Azure role-based access control (RBAC). Εμφανίζεται στον πίνακα ελέγχου του Aether365 στην κατηγορία azure-azure-keyvault checks.
Πώς να Το Διορθώσετε
Για να ενεργοποιήσετε το Azure RBAC σε ένα υπάρχον Key Vault:
- Στο Azure portal, ανοίξτε το μενού από την επάνω αριστερή γωνία και επιλέξτε Key Vaults.
- Επιλέξτε το Key Vault που θέλετε να ελέγξετε.
- Στο αριστερό παράθυρο, επιλέξτε Access configuration.
- Κάτω από το Permission model, επιλέξτε το κουμπί Azure role-based access control. Διαβάστε προσεκτικά το προειδοποιητικό μήνυμα σχετικά με τη διακοπή υπηρεσίας.
- Κάντε κλικ στο Save για να εφαρμόσετε την αλλαγή.
- Μετά την αποθήκευση, μεταβείτε στο Access control (IAM).
- Ανοίξτε την καρτέλα Role assignments.
- Αναθέστε ξανά άδειες σε χρήστες, ομάδες ή service principals ανάλογα με τις απαιτήσεις ασφαλείας σας.
Σχεδιάστε προσεκτικά τη μετάβαση, συμπεριλαμβανομένης της αντιστοίχισης των τρεχουσών πολιτικών πρόσβασης στο vault με ισοδύναμους ρόλους Azure RBAC, για να ελαχιστοποιήσετε τον χρόνο διακοπής λειτουργίας. Τα δικαιώματα θα εφαρμοστούν ξανά κατά τη διάρκεια της μετάβασης.
Συμμόρφωση
- CIS Microsoft Azure Foundations 3.0.0, Section 3.3.3 (Level 2)
Σχετικοί Πόροι
- Azure Key Vault RBAC Migration Guide
- Assign Azure Roles Using the Portal
- What is Azure RBAC?
- Microsoft Cloud Security Benchmark DP-8