Implementace zásad minimálního přístupu v Azure pomocí RBAC (Řízení přístupu založeného na rolích)

Implementace zásad minimálního přístupu v Azure pomocí RBAC (Řízení přístupu založeného na rolích)

10.08.2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při implementaci a správě zásad minimálního přístupu v Azure pomocí Role-Based Access Control (RBAC). Azure RBAC je autorizační systém, který vám umožňuje spravovat, kdo má přístup k prostředkům Azure, co s těmito prostředky může dělat a ke kterým oblastem má přístup. Uplatnění principu nejmenšího privilegia je zásadní pro snížení plochy útoku a zmírnění bezpečnostních rizik v jakémkoli cloudovém prostředí [1].

Úvod

V dynamickém cloudovém prostředí, jako je Azure, kde jsou prostředky neustále vytvářeny, upravovány a mazány, je neustálým problémem zajistit, aby uživatelé a služby měli pouze oprávnění, která potřebují k provádění svých úkolů. Azure RBAC je nativní nástroj Azure pro implementaci principu nejmenších oprávnění, který organizacím umožňuje definovat podrobná oprávnění a efektivně řídit přístup [2].

Tato praktická příručka pokryje základní koncepty Azure RBAC, včetně rolí, rozsahů a přiřazení rolí, s podrobnými pokyny pro vytváření a přiřazování rolí, správu přiřazení a ověřování oprávnění.

Proč jsou Azure RBAC a princip nejmenšího privilegia klíčové?

  • Attack Surface Reduction: Omezuje potenciální dopad napadeného účtu.
  • Shoda s předpisy: Pomáhá splnit požadavky na audit a shodu (LGPD, GDPR, HIPAA).
  • Vylepšené řízení: Poskytuje jasný model pro správu a audit oprávnění.
  • Prevence náhodných chyb: Snižuje možnost náhodného poškození kritických zdrojů.

Předpoklady

  1. Aktivní předplatné Azure.
  2. Administrativní přístup: Má roli Vlastník nebo Administrátor přístupu uživatelů v požadovaném rozsahu [3].

Krok za krokem: Implementace Azure RBAC

1. Pochopení komponent Azure RBAC

  • Bezpečnostní entita: Kdo získává přístup (uživatel, skupina atd.).
  • Definice role: Co lze udělat (sbírka oprávnění). Příklad: "Čtenář", "Spolupracovník".
  • Rozsah: Kde se přístup vztahuje (předplatné, skupina zdrojů atd.).

Přiřazení rolí je kombinací těchto tří prvků.

2. Přidělování interních rolí

  1. Na webu Azure Portal přejděte na požadovaný prostředek nebo obor (např. skupina prostředků).
  2. Vyberte Řízení přístupu (IAM).
  3. Klikněte na + Přidat > Přidat přiřazení role.
  4. Na kartě „Role“ vyberte požadovanou roli (např. „Čtenář“).
  5. Na kartě Členové vyberte uživatele, skupinu nebo instanční objekt.
  6. Pro dokončení klikněte na Review + assign.

3. Vytváření uživatelských funkcí

Když vestavěné funkce nestačí, vytvořte si vlastní funkci.

  1. V Řízení přístupu (IAM) pro předplatné klikněte na + Přidat > Přidat vlastní roli.
  2. Pojmenujte roli (např. „Omezený operátor virtuálního počítače“).
  3. V části Oprávnění přidejte konkrétní požadované akce. Příklad pro operátora VM:
    • Microsoft.Compute/virtualMachines/start/action
    • Microsoft.Compute/virtualMachines/restart/action
    • Microsoft.Compute/virtualMachines/read
  4. Definujte Assignable Scopes (kde lze funkci použít).
  5. Klikněte na Zkontrolovat + vytvořit a poté na Vytvořit.

Po vytvoření přiřaďte tuto vlastní roli stejným způsobem jako vestavěnou roli.

4. Správa a kontrola úkolů

  • Na obrazovce Řízení přístupu (IAM) je na kartě „Přiřazení rolí“ uvedena všechna oprávnění pro daný rozsah.
  • Tento seznam pravidelně kontrolujte. Pomocí tlačítka „Odebrat“ odeberte přístup, který již nepotřebujete.

Nejlepší postupy

  • Používejte skupiny Azure AD: Přiřaďte role skupinám, nikoli jednotlivým uživatelům. Správa členství ve skupině je jednodušší než správa desítek přiřazení RBAC.
  • Nejmenší možný rozsah: Pokud uživatel potřebuje přístup pouze k jednomu prostředku, přiřaďte roli v rozsahu tohoto prostředku, nikoli skupině prostředků nebo předplatnému.
  • Používejte Azure AD Privileged Identity Management (PIM): Pro vysoce privilegované role (Vlastník, Globální správce) použijte PIM k povolení přístupu just-in-time (JIT), který uděluje zadočasné mise a vyžaduje zdůvodnění.

Běžné odstraňování problémů

  • Uživatel nemá přístup ke zdroji: Zkontrolujte přiřazení rolí na všech úrovních (zdroj, skupina prostředků, předplatné). Oprávnění se dědí. Zkontrolujte také, zda neblokuje přístup Odmítnout přiřazení.
  • Konflikty oprávnění: Azure RBAC se řídí aditivním modelem. Pokud má uživatel ve skupině prostředků roli „Čtenář“ a „Přispěvatel“ na virtuálním počítači v ní, oprávnění se sečtou. Přiřazení zamítnutí však mají vždy přednost. Pokud přiřazení odmítnutí blokuje akci, přístup bude odepřen, i když to přiřazení role umožňuje [4].
  • Nově udělený přístup nefunguje: Rozšíření oprávnění může trvat několik minut. Požádejte uživatele, aby se odhlásil a znovu přihlásil do portálu.

Závěr

Disciplinovaná implementace principu nejmenších oprávnění prostřednictvím Azure RBAC je jednou z nejúčinnějších bezpečnostních praktik v cloudu. Využitím vestavěných rolí, vytvořením granulárních vlastních rolí v případě potřeby a pravidelným auditem přístupu mohou organizace dramaticky snížit plochu útoku, omezit dopad potenciálního narušení a zajistit soulad s regulačními standardy. Nástroje jako Azure AD PIM doplňují RBAC a přidávají vrstvy řízení a auditu pro nejkritičtější přístup.

Reference

[1] Microsoft. (2023). Co je řízení přístupu na základě rolí Azure (Azure RBAC)? [2] Microsoft. (2023). Osvědčené postupy pro Azure RBAC. [3] Microsoft. (2023). Vestavěné funkce Azure. [4] Microsoft. (2023). Pochopte přiřazení odmítnutí Azure.