No Service Principal with Client Secret and permanent role assignment on Control Plane
Kodėl tai svarbu
Paslaugų principai, turintys kliento paslaptis ir nuolatinius aukšto privilegijų lygio vaidmenų priskyrimus valdymo plokštumoje, kelia reikšmingą saugumo riziką. Jei kliento paslaptis yra kompromituota, užpuolikas gali išlaikyti nuolatinę aukšto lygio prieigą prie jūsų Azure aplinkos. Naudojant sertifikatus su trumpesniu galiojimo laikotarpiu arba valdomas tapatybes, sumažinamas šis atakos paviršius ir laikomasi mažiausių privilegijų principo.
Ką tikrina Aether365
Šis patikrinimas nuskaito jūsų Microsoft 365 nuomininko paslaugų principus, kurie turi ir kliento paslaptį, ir nuolatinį aukšto privilegijų lygio vaidmens priskyrimą Azure valdymo plokštumoje. Jis rodomas jūsų Aether365 prietaisų skydelyje po kategorija microsoft-365 patikrinimai.
Kaip ištaisyti
- Nustatykite paslaugos principą iš Aether365 įspėjimo ir pažymėkite jo programos registraciją.
- Įvertinkite, ar paslaugos principas gali būti visiškai pakeistas valdoma tapatybe (Azure ištekliams) autentifikacijai.
- Jei paslaugos principas yra būtinas, eikite į Azure portalą ir pasirinkite Azure Active Directory > App registrations.
- Pasirinkite paslaugos principo programos registraciją, eikite į Certificates and secrets ir pašalinkite kliento paslaptį.
- Įkelkite sertifikatą (X.509) į Certificates skirtuką vietoj kliento paslapties naudojimo.
- Reguliariai keiskite sertifikatą pagal grafiką arba naudodami automatizavimo kanalą.
- Aukšto privilegijų lygio vaidmens priskyrimui apsvarstykite galimybę naudoti "just-in-time" (JIT) prieigą per Privileged Identity Management vietoj nuolatinio priskyrimo.
Atitiktis
- Nėra tiesiogiai nurodyta, tačiau atitinka CIS ir CISA rekomendacijas dėl kredencialų saugumo ir mažiausių privilegijų.
Susiję ištekliai
- Valdomos tapatybės Azure ištekliams
- Sertifikatų naudojimas Azure AD programos autentifikacijai
- Kas yra Privileged Identity Management?