No Service Principal with Client Secret and permanent role assignment on Control Plane
Zakaj je to pomembno
Service principal z odjemalskimi skrivnostmi in stalnimi dodelitvami visoko privilegiranih vlog na nadzorni ravnini predstavljajo pomembno varnostno tveganje. Če je odjemalska skrivnost ogrožena, lahko napadalec ohrani trajen povišan dostop do vašega okolja Azure. Uporaba potrdil s krajšo življenjsko dobo ali upravljanih identitet zmanjša to napadalno površino in je skladna z načelom najmanjših privilegijev.
Kaj preverja Aether365
To preverjanje pregleduje service principal v vašem najemniku Microsoft 365, ki imajo konfigurirano odjemalsko skrivnost in stalno dodelitev visoko privilegirane vloge na nadzorni ravnini Azure. Prikaže se na vaši nadzorni plošči Aether365 pod kategorijo preverjanj microsoft-365.
Kako odpraviti
- Določite service principal iz opozorila Aether365 in zabeležite njegovo registracijo aplikacije.
- Preverite, ali lahko service principal v celoti nadomestite z upravljano identiteto (za vire Azure) za preverjanje pristnosti.
- Če je service principal potreben, pojdite na Azure Portal in odprite Azure Active Directory > App registrations.
- Izberite registracijo aplikacije za service principal, pojdite na Certificates and secrets in odstranite odjemalsko skrivnost.
- Namesto uporabe odjemalske skrivnosti naložite potrdilo (X.509) na zavihek Certificates.
- Redno menjajte potrdilo po urniku ali z avtomatizacijskim cevovodom.
- Za dodelitev visoko privilegirane vloge razmislite o uporabi dostopa just-in-time (JIT) prek Privileged Identity Management namesto stalne dodelitve.
Skladnost
- Nobena ni neposredno navedena, vendar je skladna s priporočili CIS in CISA za varnost poverilnic in načelo najmanjših privilegijev.
Povezani viri
- Managed identities for Azure resources
- Use certificates for Azure AD application authentication
- What is Privileged Identity Management?