Enable Role Based Access Control for Azure Key Vault
Miksi tämä on tärkeää
Ilman Azure RBAC:n käyttöönottoa Key Vault -säilöissä järjestelmänvalvojat rajoittuvat säilön käyttöoikeuskäytäntöihin, jotka johtavat usein liian laajoihin oikeuksiin ja joista puuttuu turvallisen toiminnan edellyttämä hienojakoinen hallinta. Tämä lisää riskiä luvattomasta pääsystä arkaluonteisiin avaimiin, salaisuuksiin ja sertifikaatteihin. Ottamalla Azure RBAC käyttöön voit pakottaa juuri oikea-aikaisen (JIT) pääsynhallinnan ja pienentää hyökkäyspinta-alaa tarkkarajaisten roolien määritysten avulla.
Mitä Aether365 tarkistaa
Tämä tarkistus varmistaa, että jokaisen Azure Key Vault -säilön käyttöoikeusmalli on asetettu Azure-rollipohjaiseksi käyttöoikeushallinnaksi (RBAC). Se näkyy Aether365-hallintapaneelissasi azure-azure-keyvault -tarkistusluokan alla.
Korjausohjeet
Azure RBAC:n käyttöönotto olemassa olevalle Key Vault -säilölle:
- Valitse Azure-portaalissa valikko vasemmasta yläkulmasta ja valitse Key Vaults.
- Valitse Key Vault, jonka haluat tarkistaa.
- Valitse vasemmasta sivupalkista Access configuration.
- Valitse Permission model -kohdasta Azure role-based access control -valintapainike. Lue huolellisesti palvelukatkosta koskeva varoitusviesti.
- Napsauta Save ottaaksesi muutoksen käyttöön.
- Tallenna jälkeen siirry kohtaan Access control (IAM).
- Avaa Role assignments -välilehti.
- Määritä käyttöoikeudet uudelleen käyttäjille, ryhmille tai palvelun pääobjekteille tarpeen mukaan vastaamaan suojausvaatimuksiasi.
Suunnittele migraatio huolellisesti, mukaan lukien nykyisten säilön käyttöoikeuskäytäntöjen kartoittaminen vastaaviin Azure RBAC -rooleihin, jotta käyttökatkot minimoidaan. Käyttöoikeudet asetetaan uudelleen siirtymävaiheen aikana.
Vaatimustenmukaisuus
- CIS Microsoft Azure Foundations 3.0.0, kohta 3.3.3 (taso 2)
Liittyvät resurssit
- Azure Key Vault RBAC Migration Guide
- Assign Azure Roles Using the Portal
- What is Azure RBAC?
- Microsoft Cloud Security Benchmark DP-8