Ensure that 'Access Policies' are Implemented and Reviewed
Чому це важливо
Без політик доступу будь-який автентифікований користувач або служба може виконувати будь-які команди Redis, що створює значний ризик для безпеки. Якщо не впроваджено управління доступом на основі ролей (RBAC), ви втрачаєте можливість забезпечувати принцип найменших привілеїв, тобто користувачі можуть мати непотрібний доступ до конфіденційних даних або деструктивних команд. Це розширює поверхню атаки та підвищує ймовірність несанкціонованого розкриття даних або випадкової втрати даних.
Що перевіряє Aether365
Aether365 перевіряє, чи налаштовано політики доступу з використанням RBAC для кожного екземпляра Azure Cache for Redis. Ця перевірка відображається в інформаційній панелі Aether365 у розділі сканування безпеки azure-cache-for-redis.
Як виправити
- Увійдіть на Azure Portal і перейдіть до свого ресурсу Azure Cache for Redis.
- У лівому меню виберіть Access Control (IAM).
- У розділі Role Assignments перегляньте наявні призначення та додайте нові, використовуючи вбудовані ролі, такі як Reader, Contributor або специфічні для Redis ролі Data Owner і Data Reader.
- Для більш детального контролю створіть власні ролі через Azure RBAC, які обмежують дозволи на конкретні команди Redis або ключі даних.
- Заплануйте періодичні перевірки доступу (Access reviews), щоб аудитувати всі ідентичності в списку контролю доступу та видалити непотрібні або застарілі дозволи.
Хоча не існує єдиного приписного способу виправлення через різну складність середовища, ці кроки становлять стандартний підхід до впровадження RBAC. Почніть з ретельного аналізу того, хто потребує доступу та які команди чи дані їм потрібні, а потім застосуйте відповідні ролі.
Відповідність стандартам
- CIS Microsoft Azure Database Services 2.0.0, розділ 2.4 (Рівень 2)
- CIS Microsoft Azure Foundations Benchmark