No Service Principal with Client Secret and permanent role assignment on Control Plane
Bu Neden Önemli
Kontrol düzleminde istemci gizli anahtarları ve kalıcı yüksek ayrıcalıklı rol atamaları bulunan hizmet sorumluları önemli bir güvenlik riski oluşturur. Bir istemci gizli anahtarı tehlikeye girerse, saldırgan Azure ortamınıza kalıcı olarak yükseltilmiş erişim sağlayabilir. Daha kısa ömürlü sertifikalar veya yönetilen kimlikler kullanmak bu saldırı yüzeyini azaltır ve en az ayrıcalık ilkesiyle uyumludur.
Aether365 Ne Kontrol Eder
Bu denetim, Microsoft 365 kiracınızda hem istemci gizli anahtarı yapılandırılmış hem de Azure kontrol düzleminde yüksek ayrıcalıklı bir role kalıcı olarak atanmış hizmet sorumlularını tarar. Aether365 kontrol panelinizde microsoft-365 kontrolleri kategorisi altında görünür.
Nasıl Düzeltilir
- Aether365 uyarısından hizmet sorumlusunu belirleyin ve uygulama kaydını not alın.
- Hizmet sorumlusunun kimlik doğrulama için tamamen yönetilen bir kimlikle (Azure kaynakları için) değiştirilip değiştirilemeyeceğini değerlendirin.
- Bir hizmet sorumlusu gerekiyorsa, Azure portalına gidin ve Azure Active Directory > App registrations bölümüne ilerleyin.
- Hizmet sorumlusunun uygulama kaydını seçin, Certificates and secrets bölümüne gidin ve istemci gizli anahtarını kaldırın.
- İstemci gizli anahtarı yerine Certificates sekmesine bir sertifika (X.509) yükleyin.
- Sertifikayı bir zamanlama veya otomasyon iş akışı kullanarak düzenli olarak döndürün.
- Yüksek ayrıcalıklı rol ataması için kalıcı atama yerine Privileged Identity Management üzerinden tam zamanında (JIT) erişim kullanmayı düşünün.
Uyumluluk
- Doğrudan belirtilmiş bir uyumluluk bulunmamakla birlikte, kimlik bilgisi güvenliği ve en az ayrıcalık konularında CIS ve CISA önerileriyle uyumludur.
İlgili Kaynaklar
- Managed identities for Azure resources
- Use certificates for Azure AD application authentication
- What is Privileged Identity Management?