No Service Principal with Client Secret and permanent role assignment on Control Plane
Miks see oluline on
Teenusesubjektid koos kliendisaladuste ja püsivate kõrgete rollimäärangutega juhtimistasandil kujutavad endast olulist turvariski. Kui kliendisaladus satub ohtu, saab ründaja säilitada püsiva kõrgendatud juurdepääsu teie Azure keskkonnale. Lühema elueaga sertifikaatide või hallatud identiteetide kasutamine vähendab seda ründe pindala ja järgib vähima privileegi põhimõtteid.
Mida Aether365 kontrollib
See kontroll otsib teenusesubjekte teie Microsoft 365 rentnikus, millel on nii kliendisaladus konfigureeritud kui ka püsiv määramine kõrgelt privileegitud rollile Azure juhtimistasandil. See kuvatakse teie Aether365 armatuurlaual kategoorias microsoft-365 kontrollid.
Kuidas parandada
- Tuvastage teenusesubjekt Aether365 hoiatusest ja märkige üles selle rakenduse registreerimine.
- Kontrollige, kas teenusesubjekti saab täielikult asendada hallatud identiteediga (Azure ressursside jaoks) autentimise eesmärgil.
- Kui teenusesubjekt on vajalik, minge Azure portaali ja avage Azure Active Directory > App registrations.
- Valige teenusesubjekti rakenduse registreerimine, minge Certificates and secrets ja eemaldage kliendisaladus.
- Laadige sertifikaat (X.509) üles Certificates vahekaardile kliendisaladuse asemel.
- Vahetage sertifikaati regulaarselt ajakava või automatiseerimise töövoo abil.
- Kõrge privileegiga rolli määramiseks kaaluge just-in-time (JIT) juurdepääsu kasutamist Privileged Identity Management kaudu püsiva määramise asemel.
Vastavus
- Otseselt ei viidatud ühelegi standardile, kuid see on kooskõlas CIS ja CISA soovitustega identimisandmete turvalisuse ja vähima privileegi kohta.
Seotud ressursid
- Hallatud identiteedid Azure ressursside jaoks
- Sertifikaatide kasutamine Azure AD rakenduse autentimiseks
- Mis on Privileged Identity Management?