Enable Role Based Access Control for Azure Key Vault
Dlaczego to ma znaczenie
Bez włączenia Azure RBAC w magazynach kluczy administratorzy są ograniczeni do zasad dostępu do magazynu, które często prowadzą do nadmiernie szerokich uprawnień i nie zapewniają precyzyjnej kontroli wymaganej do bezpiecznego zarządzania. Zwiększa to ryzyko nieautoryzowanego dostępu do poufnych kluczy, wpisów tajnych i certyfikatów. Przechodząc na Azure RBAC, możesz egzekwować zarządzanie dostępem just-in-time (JIT) i zmniejszyć powierzchnię ataku poprzez precyzyjne przypisywanie ról.
Co sprawdza Aether365
To sprawdzenie weryfikuje, czy każdy Azure Key Vault ma model uprawnień ustawiony na kontrolę dostępu opartą na rolach (RBAC). Pojawia się ono w panelu Aether365 w kategorii kontroli azure-azure-keyvault.
Jak naprawić
Aby włączyć Azure RBAC dla istniejącego Key Vault:
- W Azure Portal otwórz menu w lewym górnym rogu i wybierz Key Vaults.
- Wybierz Key Vault, który chcesz poddać audytowi.
- W lewym panelu wybierz Access configuration.
- W sekcji Permission model zaznacz przycisk radiowy Azure role-based access control. Dokładnie przejrzyj komunikat ostrzegawczy dotyczący przerw w działaniu usługi.
- Kliknij Save, aby zastosować zmianę.
- Po zapisaniu przejdź do Access control (IAM).
- Otwórz zakładkę Role assignments.
- Ponownie przypisz uprawnienia użytkownikom, grupom lub jednostkom usługi (service principal) zgodnie z wymaganiami bezpieczeństwa.
Starannie zaplanuj migrację, w tym odwzorowanie bieżących zasad dostępu do magazynu na równoważne role Azure RBAC, aby zminimalizować przestoje. Uprawnienia zostaną ponownie zastosowane podczas przejścia.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0, Sekcja 3.3.3 (Poziom 2)
Powiązane zasoby
- Przewodnik migracji Azure Key Vault RBAC
- Przypisywanie ról Azure za pomocą portalu
- Czym jest Azure RBAC?
- Microsoft Cloud Security Benchmark DP-8