Ensure that 'Access Policies' are Implemented and Reviewed
Waarom dit belangrijk is
Zonder toegangsbeleid kan elke geverifieerde gebruiker of service elk Redis-commando uitvoeren, wat een aanzienlijk beveiligingsrisico vormt. Door Role Based Access Control (RBAC) niet te implementeren, verliest u de mogelijkheid om het principe van minimale rechten af te dwingen, waardoor gebruikers mogelijk onnodige toegang hebben tot gevoelige gegevens of destructieve commando's. Dit vergroot het aanvalsoppervlak en maakt ongeautoriseerde gegevensblootstelling of onbedoeld gegevensverlies waarschijnlijker.
Wat Aether365 controleert
Aether365 verifieert of er toegangsbeleid met RBAC is geconfigureerd voor elk Azure Cache for Redis-exemplaar. Deze controle verschijnt in het Aether365-dashboard onder de sectie azure-cache-for-redis-beveiligingsscan.
Hoe u dit kunt oplossen
- Meld u aan bij de Azure Portal en navigeer naar uw Azure Cache for Redis-resource.
- Selecteer in het linkermenu de optie Access Control (IAM).
- Bekijk onder Role Assignments de bestaande toewijzingen en voeg indien nodig nieuwe roltoewijzingen toe met behulp van ingebouwde rollen zoals Reader, Contributor of de Redis-specifieke rollen Data Owner en Data Reader.
- Voor nauwkeurigere controle kunt u via Azure RBAC aangepaste rollen maken die machtigingen beperken tot specifieke Redis-commando's of gegevenssleutels.
- Plan periodieke toegangscontroles om alle identiteiten in de toegangscontrolelijst te controleren en verwijder onnodige of verouderde machtigingen.
Hoewel er vanwege de variërende omgevingscomplexiteit geen eenduidige vastgestelde herstelprocedure is, vormen deze stappen de standaardaanpak voor het implementeren van RBAC. Begin met een zorgvuldige analyse van wie toegang nodig heeft en welke commando's of gegevens zij nodig hebben, en pas vervolgens de rollen dienovereenkomstig toe.
Naleving
- CIS Microsoft Azure Database Services 2.0.0 Sectie 2.4 (Niveau 2)
- CIS Microsoft Azure Foundations Benchmark