No Service Principal with Client Secret and permanent role assignment on Control Plane
Hvorfor Dette Er Viktig
Tjenestehovedstoler (service principals) med klienthemmeligheter og permanente høyt-privilegerte rolletilordninger i kontrollplanet utgjør en betydelig sikkerhetsrisiko. Hvis en klienthemmelighet kompromitteres, kan en angriper opprettholde vedvarende forhøyet tilgang til Azure-miljøet ditt. Å bruke sertifikater med kortere levetid eller administrerte identiteter reduserer denne angrepsflaten og samsvarer med prinsippet om minst mulig tilgang.
Hva Aether365 Sjekker
Denne sjekken skanner etter tjenestehovedstoler i Microsoft 365-leietakeren din som både har en klienthemmelighet konfigurert og en permanent tilordning til en høyt-privilegert rolle i Azure-kontrollplanet. Den vises i Aether365-dashbordet ditt under kategorien microsoft-365-sjekker.
Hvordan Fikse Det
- Identifiser tjenestehovedstolen fra Aether365-varslingen og noter appregistreringen.
- Vurder om tjenestehovedstolen helt kan erstattes av en administrert identitet (for Azure-ressurser) for autentisering.
- Hvis en tjenestehovedstol er nødvendig, naviger til Azure Portal og gå til Azure Active Directory > App registrations.
- Velg appregistreringen for tjenestehovedstolen, gå til Certificates and secrets, og fjern klienthemmeligheten.
- Last opp et sertifikat (X.509) til fanen Certificates i stedet for å bruke en klienthemmelighet.
- Roter sertifikatet regelmessig ved hjelp av en tidsplan eller automatiseringspipeline.
- For den høyt-privilegerte rolletilordningen, vurder å bruke just-in-time (JIT)-tilgang via Privileged Identity Management i stedet for en permanent tilordning.
Samsvar
- Ingen direkte sitert, men samsvarer med CIS- og CISA-anbefalinger for legitimasjonssikkerhet og minst mulig tilgang.
Relaterte Ressurser
- Managed identities for Azure resources
- Use certificates for Azure AD application authentication
- What is Privileged Identity Management?