Ensure that 'Access Policies' are Implemented and Reviewed
Varför detta är viktigt
Utan åtkomstprinciper kan alla autentiserade användare eller tjänster utföra vilket Redis-kommando som helst, vilket skapar en betydande säkerhetsrisk. Genom att inte implementera rollbaserad åtkomstkontroll (RBAC) förlorar du möjligheten att tillämpa principen om minsta behörighet, vilket innebär att användare kan ha onödig åtkomst till känslig data eller destruktiva kommandon. Detta ökar attackytan och gör obehörig datacxponering eller oavsiktlig dataförlust mer sannolik.
Vad Aether365 kontrollerar
Aether365 verifierar att åtkomstprinciper med RBAC är konfigurerade för varje Azure Cache for Redis-instans. Denna kontroll visas i Aether365-instrumentpanelen under avsnittet för azure-cache-for-redis säkerhetsskanning.
Så här åtgärdar du
- Logga in på Azure Portal och navigera till din Azure Cache for Redis-resurs.
- I den vänstra menyn väljer du Access Control (IAM).
- Under Role Assignments granskar du befintliga tilldelningar och lägger till nya rolltilldelningar efter behov med inbyggda roller som Läsare, Deltagare eller Redis-specifika Dataägare och Dataläsare.
- För finare kontroll skapar du anpassade roller via Azure RBAC som begränsar behörigheter till specifika Redis-kommandon eller datanycklar.
- Schemalägg periodiska åtkomstgranskningar för att granska alla identiteter i åtkomstkontrollistan och ta bort onödiga eller föråldrade behörigheter.
Även om det inte finns någon enskild föreskriven åtgärdsväg på grund av varierande miljökomplexitet, utgör dessa steg standardmetoden för att implementera RBAC. Börja med en noggrann analys av vem som behöver åtkomst och vilka kommandon eller data de behöver, och tilldela sedan roller därefter.
Regelefterlevnad
- CIS Microsoft Azure Database Services 2.0.0 Avsnitt 2.4 (Nivå 2)
- CIS Microsoft Azure Foundations Benchmark