Ensure that 'Access Policies' are Implemented and Reviewed
Miksi tämä on tärkeää
Ilman käyttöoikeuskäytäntöjä kuka tahansa todennettu käyttäjä tai palvelu voi suorittaa mitä tahansa Redis-komentoa, mikä aiheuttaa merkittävän tietoturvariskin. Jos et ota käyttöön Role Based Access Control (RBAC) -toimintoa, menetät mahdollisuuden noudattaa vähimpien oikeuksien periaatetta, jolloin käyttäjillä saattaa olla tarpeetonta pääsyä arkaluonteisiin tietoihin tai tuhoaviin komentoihin. Tämä lisää hyökkäyspintaa ja tekee luvattomasta tietojen altistumisesta tai tahattomasta tietojen menetyksestä todennäköisempää.
Mitä Aether365 tarkistaa
Aether365 varmistaa, että RBAC:ia käyttävät käyttöoikeuskäytännöt on määritetty jokaiselle Azure Cache for Redis -instanssille. Tämä tarkistus näkyy Aether365-hallintapaneelissa azure-cache-for-redis -tietoturvatarkistusosion alla.
Korjaustoimenpiteet
- Kirjaudu Azure-portaaliin ja siirry Azure Cache for Redis -resurssiisi.
- Valitse vasemmasta valikosta Access Control (IAM).
- Tarkista Role Assignments -kohdassa olemassa olevat määritykset ja lisää tarvittaessa uusia roolimäärityksiä käyttäen valmiita rooleja, kuten Reader, Contributor tai Redis-spesifisiä Data Owner- ja Data Reader -rooleja.
- Hallitaksesi tarkemmin, luo mukautettuja rooleja Azure RBAC:n kautta, jotka rajoittavat oikeuksia tiettyihin Redis-komentoihin tai tietoavaimiin.
- Ajoita säännöllisiä käyttöoikeustarkistuksia auditoidaksesi kaikki identiteetit käyttöoikeusluettelossa ja poistaaksesi tarpeettomat tai vanhentuneet oikeudet.
Vaikka yhtä ainoaa määrättyä korjauspolkua ei ole ympäristön vaihtelevan monimutkaisuuden vuoksi, nämä vaiheet muodostavat RBAC:n käyttöönoton vakiomenetelmän. Aloita huolellisella analyysillä siitä, kuka tarvitsee pääsyä ja mitä komentoja tai tietoja he tarvitsevat, ja sovella sen jälkeen rooleja tarpeen mukaan.
Vaatimustenmukaisuus
- CIS Microsoft Azure Database Services 2.0.0 -osion 2.4 (Level 2) mukainen
- CIS Microsoft Azure Foundations Benchmark -standardin mukainen