Ensure that 'Access Policies' are Implemented and Reviewed
Kāpēc tas ir svarīgi
Bez piekļuves politikām jebkurš autentificēts lietotājs vai pakalpojums var izpildīt jebkuru Redis komandu, kas rada būtisku drošības risku. Neieviešot lomu piekļuves kontroli (RBAC), jūs zaudējat iespēju īstenot minimālo privilēģiju principu, kas nozīmē, ka lietotājiem var būt nevajadzīga piekļuve sensitīviem datiem vai destruktīvām komandām. Tas palielina uzbrukuma virsmu un padara iespējamāku neatļautu datu izpaušanu vai nejaušu datu zudumu.
Ko pārbauda Aether365
Aether365 pārbauda, vai piekļuves politikas, izmantojot RBAC, ir konfigurētas katrai Azure Cache for Redis instancei. Šī pārbaude ir redzama Aether365 informācijas panelī sadaļā "azure-cache-for-redis" drošības skenēšanas sadaļā.
Kā novērst
- Pierakstieties Azure Portal un atveriet savu Azure Cache for Redis resursu.
- Kreisajā izvēlnē atlasiet "Access Control (IAM)".
- Sadaļā "Role Assignments" pārskatiet esošos piešķīrumus un pievienojiet jaunus lomu piešķīrumus pēc nepieciešamības, izmantojot iebūvētās lomas, piemēram, "Reader", "Contributor" vai Redis specifiskās lomas "Data Owner" un "Data Reader".
- Lai iegūtu precīzāku kontroli, izveidojiet pielāgotas lomas, izmantojot Azure RBAC, kas ierobežo atļaujas tikai ar konkrētām Redis komandām vai datu atslēgām.
- Ieplānojiet periodiskus piekļuves pārskatus, lai auditētu visas identitātes piekļuves kontroles sarakstā un noņemtu nevajadzīgas vai novecojušas atļaujas.
Lai gan nav universāla remonta ceļa atšķirīgās vides sarežģītības dēļ, šīs darbības veido standarta pieeju RBAC ieviešanai. Sāciet ar rūpīgu analīzi par to, kam ir nepieciešama piekļuve un kādas komandas vai datus viņi pieprasa, pēc tam atbilstoši piemērojiet lomas.
Atbilstība
- CIS Microsoft Azure Database Services 2.0.0 Sadaļa 2.4 (2. līmenis)
- CIS Microsoft Azure Foundations Benchmark