No Service Principal with Client Secret and permanent role assignment on Control Plane
Perché è Importante
Gli entità servizio con segreti client e assegnazioni di ruoli ad alta privilegio permanenti sul piano di controllo rappresentano un rischio di sicurezza significativo. Se un segreto client viene compromesso, un utente malintenzionato può mantenere un accesso elevato persistente al tuo ambiente Azure. L'utilizzo di certificati con durata più breve o identità gestite riduce questa superficie di attacco e si allinea ai principi del minimo privilegio.
Cosa Verifica Aether365
Questa verifica analizza le entità servizio nel tuo tenant Microsoft 365 che hanno sia un segreto client configurato sia un'assegnazione permanente a un ruolo ad alta privilegio sul piano di controllo di Azure. Appare nella dashboard di Aether365 sotto la categoria di verifiche microsoft-365.
Come Risolvere
- Identifica l'entità servizio dall'avviso di Aether365 e annota la sua registrazione dell'app.
- Valuta se l'entità servizio può essere sostituita completamente da un'identità gestita (per risorse Azure) per l'autenticazione.
- Se è necessaria un'entità servizio, vai al portale Azure e naviga fino a Azure Active Directory > App registrations.
- Seleziona la registrazione dell'app per l'entità servizio, vai a Certificates and secrets e rimuovi il segreto client.
- Carica un certificato (X.509) nella scheda Certificates invece di utilizzare un segreto client.
- Ruota il certificato regolarmente utilizzando una pianificazione o una pipeline di automazione.
- Per l'assegnazione del ruolo ad alta privilegio, considera l'utilizzo dell'accesso just-in-time (JIT) tramite Privileged Identity Management invece di un'assegnazione permanente.
Conformità
- Nessuna direttamente citata, ma si allinea alle raccomandazioni CIS e CISA per la sicurezza delle credenziali e il minimo privilegio.
Risorse Correlate
- Managed identities for Azure resources
- Use certificates for Azure AD application authentication
- What is Privileged Identity Management?