No Service Principal with Client Secret and permanent role assignment on Control Plane
Dlaczego to jest ważne
Jednostki usługi z sekretami klienta i stałymi przypisaniami wysokoprzywilejowanych ról w płaszczyźnie sterowania stanowią istotne ryzyko bezpieczeństwa. W przypadku naruszenia sekretu klienta atakujący może utrzymać trwały, podwyższony dostęp do środowiska Azure. Używanie certyfikatów o krótszym okresie ważności lub tożsamości zarządzanych zmniejsza tę powierzchnię ataku i jest zgodne z zasadą najmniejszych uprawnień.
Co sprawdza Aether365
To sprawdzenie skanuje jednostki usługi w dzierżawie Microsoft 365, które mają skonfigurowany sekret klienta i stałe przypisanie do wysokoprzywilejowanej roli w płaszczyźnie sterowania Azure. Pojawia się na pulpicie nawigacyjnym Aether365 w kategorii sprawdzeń microsoft-365.
Jak naprawić
- Zidentyfikuj jednostkę usługi na podstawie alertu Aether365 i zanotuj jej rejestrację aplikacji.
- Sprawdź, czy jednostkę usługi można całkowicie zastąpić tożsamością zarządzaną (dla zasobów Azure) do uwierzytelniania.
- Jeśli jednostka usługi jest wymagana, przejdź do Azure Portal a następnie do Azure Active Directory > App registrations.
- Wybierz rejestrację aplikacji dla jednostki usługi, przejdź do Certificates and secrets i usuń sekret klienta.
- Prześlij certyfikat (X.509) do karty Certificates zamiast używać sekretu klienta.
- Regularnie rotuj certyfikat zgodnie z harmonogramem lub za pomocą zautomatyzowanego potoku.
- W przypadku przypisania wysokoprzywilejowanej roli rozważ użycie dostępu just-in-time (JIT) za pośrednictwem Privileged Identity Management zamiast stałego przypisania.
Zgodność
- Brak bezpośrednio cytowanych regulacji, ale zgodne z zaleceniami CIS i CISA dotyczącymi bezpieczeństwa poświadczeń i najmniejszych uprawnień.
Powiązane zasoby
- Managed identities for Azure resources
- Use certificates for Azure AD application authentication
- What is Privileged Identity Management?