Enable Role Based Access Control for Azure Key Vault
Kāpēc tas ir svarīgi
Ja Azure Key Vault nav iespējota Azure RBAC, administratori ir ierobežoti tikai ar glabātavas piekļuves politikām, kas bieži vien rada pārāk plašas atļaujas un trūkst granularitātes, kas nepieciešama drošai darbībai. Tas palielina nesankcionētas piekļuves risku sensitīvu atslēgu, noslēpumu un sertifikātu glabātuvēm. Ieviešot Azure RBAC, varat ieviest tieši laikā (JIT) piekļuves pārvaldību un samazināt uzbrukuma virsmu, veicot precīzu lomu piešķiršanu.
Ko Aether365 pārbauda
Šī pārbaude apstiprina, ka katram Azure Key Vault ir iestatīts atļauju modelis uz Azure lomu balstītas piekļuves kontroles (RBAC) režīmu. Šī pārbaude ir redzama jūsu Aether365 panelī sadaļā azure-azure-keyvault checks.
Kā labot
Lai iespējotu Azure RBAC esošam Key Vault:
- Azure Portal augšējā kreisajā stūrī atveriet izvēlni un atlasiet Key Vaults.
- Izvēlieties Key Vault, kuru vēlaties auditēt.
- Kreisajā panelī atlasiet Access configuration.
- Sadaļā Permission model atlasiet radio pogu Azure role-based access control. Uzmanīgi izlasiet brīdinājumu par pakalpojuma traucējumiem.
- Noklikšķiniet uz Save, lai saglabātu izmaiņas.
- Pēc saglabāšanas dodieties uz Access control (IAM).
- Atveriet cilni Role assignments.
- Pēc nepieciešamības atkārtoti piešķiriet atļaujas lietotājiem, grupām vai pakalpojumu subjektiem, lai tie atbilstu jūsu drošības prasībām.
Plānojiet migrāciju uzmanīgi, iekļaujot pašreizējo glabātavu piekļuves politiku kartēšanu uz līdzvērtīgām Azure RBAC lomām, lai samazinātu dīkstāves laiku. Pārejas laikā atļaujas tiks atkārtoti piemērotas.
Atbilstība
- CIS Microsoft Azure Foundations 3.0.0, sadaļa 3.3.3 (2. līmenis)
Saistītie resursi
- Azure Key Vault RBAC Migration Guide
- Assign Azure Roles Using the Portal
- What is Azure RBAC?
- Microsoft Cloud Security Benchmark DP-8