Enable Role Based Access Control for Azure Key Vault
Prečo je to dôležité
Bez povoleného Azure RBAC na Key Vaults sú správcovia obmedzení na pravidlá prístupu k trezoru (vault access policies), ktoré často vedú k príliš širokým oprávneniam a chýba im jemná kontrola potrebná pre bezpečnú prevádzku. Tým sa zvyšuje riziko neoprávneného prístupu k citlivým kľúčom, tajomstvám (secrets) a certifikátom. Zavedením Azure RBAC môžete presadzovať riadenie prístupu just-in-time (JIT) a znížiť útočnú plochu prostredníctvom jemne odstupňovaných priradení rolí.
Čo Aether365 kontroluje
Táto kontrola overuje, či má každý Azure Key Vault nastavený model oprávnení na Azure role-based access control (RBAC). Zobrazuje sa na vašom Aether365 dashboarde v kategórii kontrol azure-azure-keyvault.
Ako to opraviť
Ak chcete povoliť Azure RBAC pre existujúci Key Vault:
- V Azure portal otvorte ponuku v ľavom hornom rohu a vyberte Key Vaults.
- Vyberte Key Vault, ktorý chcete auditovať.
- V ľavom paneli vyberte Access configuration.
- Pod Permission model vyberte prepínač Azure role-based access control. Dôkladne si prečítajte varovanie o prerušení služby.
- Kliknutím na Save zmeňte nastavenie.
- Po uložení prejdite na Access control (IAM).
- Otvorte kartu Role assignments.
- Znova priraďte oprávnenia používateľom, skupinám alebo service principals podľa vašich bezpečnostných požiadaviek.
Plánujte migráciu starostlivo vrátane mapovania súčasných pravidiel prístupu k trezoru na ekvivalentné roly Azure RBAC, aby ste minimalizovali výpadky. Oprávnenia sa počas prechodu znova aplikujú.
Súlad
- CIS Microsoft Azure Foundations 3.0.0, Sekcia 3.3.3 (Úroveň 2)
Súvisiace zdroje
- Azure Key Vault RBAC Migration Guide
- Assign Azure Roles Using the Portal
- What is Azure RBAC?
- Microsoft Cloud Security Benchmark DP-8