No Service Principal with Client Secret and permanent role assignment on Control Plane
Miksi tämä on tärkeää
Palvelun pääobjektit, joilla on asiakassalaisuuksia ja pysyviä korkean käyttöoikeuden roolimäärityksiä hallintatasolla, muodostavat merkittävän tietoturvariskin. Jos asiakassalaisuus vaarantuu, hyökkääjä voi säilyttää pysyvän korotetun pääsyn Azure-ympäristöösi. Lyhyempiä voimassaoloaikoja käyttävien sertifikaattien tai hallittujen identiteettien käyttö pienentää tätä hyökkäyspinta-alaa ja noudattaa vähimpien oikeuksien periaatetta.
Mitä Aether365 tarkistaa
Tämä tarkistus etsii Microsoft 365 -vuokraajastasi palvelun pääobjekteja, joilla on sekä asiakassalaisuus käytössä että pysyvä määritys korkean käyttöoikeuden rooliin Azure-hallintatasolla. Se näkyy Aether365-hallintapaneelissasi microsoft-365-tarkistukset-kategoriassa.
Korjaaminen
- Tunnista palvelun pääobjekti Aether365-hälytyksestä ja merkitse muistiin sen sovellusrekisteröinti.
- Arvioi, voidaanko palvelun pääobjekti korvata kokonaan hallitulla identiteetillä (Azure-resursseille) todennusta varten.
- Jos palvelun pääobjekti on välttämätön, siirry Azure-portaaliin ja valitse Azure Active Directory > App registrations.
- Valitse palvelun pääobjektin sovellusrekisteröinti, siirry kohtaan Certificates and secrets ja poista asiakassalaisuus.
- Lataa sertifikaatti (X.509) Certificates-välilehdelle asiakassalaisuuden sijaan.
- Kierrätä sertifikaattia säännöllisesti aikataulun tai automaatioputken avulla.
- Harkitse korkean käyttöoikeuden roolimäärityksessä juuri-oikeaan-aikaan (JIT) -käyttöoikeutta Privileged Identity Managementin kautta pysyvän määrityksen sijaan.
Vaatimustenmukaisuus
- Mitään ei ole suoraan viitattu, mutta se on linjassa CIS- ja CISA-suositusten kanssa salasanatietoturvan ja vähimpien oikeuksien osalta.
Liittyvät resurssit
- Managed identities for Azure resources
- Use certificates for Azure AD application authentication
- What is Privileged Identity Management?