RBAC (भूमिका-आधारित पहुंच नियंत्रण) के साथ Azure में न्यूनतम पहुंच नीतियों को लागू करना

RBAC (भूमिका-आधारित पहुंच नियंत्रण) के साथ Azure में न्यूनतम पहुंच नीतियों को लागू करना

10/08/2024

इस तकनीकी और शैक्षिक लेख का उद्देश्य भूमिका-आधारित एक्सेस कंट्रोल (आरबीएसी) का उपयोग करके एज़्योर में न्यूनतम पहुंच नीतियों को लागू करने और प्रबंधित करने में सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों का मार्गदर्शन करना है। Azure RBAC एक प्राधिकरण प्रणाली है जो आपको यह प्रबंधित करने की अनुमति देती है कि Azure संसाधनों तक किसके पास पहुंच है, वे उन संसाधनों के साथ क्या कर सकते हैं, और किन क्षेत्रों तक उनकी पहुंच है। हमले की सतह को कम करने और किसी भी क्लाउड वातावरण में सुरक्षा जोखिमों को कम करने के लिए कम से कम विशेषाधिकार के सिद्धांत को लागू करना महत्वपूर्ण है [1]।

परिचय

एज़्योर जैसे गतिशील क्लाउड वातावरण में, जहां संसाधन लगातार बनाए जाते हैं, संशोधित किए जाते हैं और हटाए जाते हैं, यह सुनिश्चित करना कि उपयोगकर्ताओं और सेवाओं के पास केवल वे अनुमतियां हैं जो उन्हें अपने कार्यों को करने के लिए आवश्यक हैं, एक निरंतर चुनौती है। Azure RBAC कम से कम विशेषाधिकार के सिद्धांत को लागू करने के लिए Azure का मूल उपकरण है, जो संगठनों को विस्तृत अनुमतियों को परिभाषित करने और पहुंच को प्रभावी ढंग से नियंत्रित करने में सक्षम बनाता है [2]।

यह व्यावहारिक मार्गदर्शिका Azure RBAC की मूलभूत अवधारणाओं को कवर करेगी, जिसमें भूमिकाएँ, कार्यक्षेत्र और भूमिका असाइनमेंट शामिल हैं, जिसमें भूमिकाएँ बनाने और असाइन करने, असाइनमेंट प्रबंधित करने और अनुमतियों को मान्य करने के लिए चरण-दर-चरण निर्देश शामिल होंगे।

Azure RBAC और न्यूनतम विशेषाधिकार का सिद्धांत महत्वपूर्ण क्यों हैं?

  • हमले की सतह में कमी: किसी समझौता किए गए खाते के संभावित प्रभाव को सीमित करता है।
  • नियामक अनुपालन: ऑडिटिंग और अनुपालन आवश्यकताओं (एलजीपीडी, जीडीपीआर, एचआईपीएए) को पूरा करने में मदद करता है।
  • उन्नत शासन: अनुमतियों के प्रबंधन और ऑडिटिंग के लिए एक स्पष्ट मॉडल प्रदान करता है।
  • आकस्मिक त्रुटि निवारण*: महत्वपूर्ण संसाधनों को आकस्मिक क्षति की संभावना कम कर देता है।

पूर्वावश्यकताएँ

  1. सक्रिय Azure सदस्यता
  2. प्रशासनिक पहुंच: वांछित दायरे में मालिक या उपयोगकर्ता पहुंच प्रशासक की भूमिका है [3]।

चरण दर चरण: Azure RBAC को लागू करना

1. Azure RBAC घटकों को समझना

  • सुरक्षा इकाई: कौन पहुंच प्राप्त करता है (उपयोगकर्ता, समूह, आदि)।
  • भूमिका परिभाषा: क्या किया जा सकता है (अनुमतियों का संग्रह)। उदाहरण: पाठक, सहयोगकर्ता
  • दायरा: जहां पहुंच लागू होती है (सदस्यता, संसाधन समूह, आदि)।

एक भूमिका असाइनमेंट इन तीन तत्वों का संयोजन है।

2. आंतरिक भूमिकाएँ सौंपना

  1. Azure पोर्टल में, वांछित संसाधन या दायरे (उदा: एक संसाधन समूह) पर नेविगेट करें।
  2. एक्सेस कंट्रोल (IAM) चुनें।
  3. + जोड़ें > भूमिका असाइनमेंट जोड़ें पर क्लिक करें।
  4. भूमिका टैब में, वांछित भूमिका का चयन करें (उदा: रीडर)।
  5. सदस्य टैब में, उपयोगकर्ता, समूह या सेवा प्रिंसिपल का चयन करें।
  6. समाप्त करने के लिए समीक्षा + असाइन करें पर क्लिक करें।

3. कस्टम फ़ंक्शन बनाना

जब अंतर्निहित फ़ंक्शन पर्याप्त न हों, तो एक कस्टम फ़ंक्शन बनाएं।

  1. सदस्यता के लिए एक्सेस कंट्रोल (IAM) में, + जोड़ें > कस्टम भूमिका जोड़ें पर क्लिक करें।
  2. भूमिका को एक नाम दें (उदाहरण के लिए 'प्रतिबंधित वीएम ऑपरेटर')।
  3. अनुमतियाँ के अंतर्गत, आवश्यक विशिष्ट क्रियाएँ जोड़ें। VM ऑपरेटर के लिए उदाहरण:
    • Microsoft.Compute/virtualMachines/start/action
    • Microsoft.Compute/virtualMachines/restart/action
    • Microsoft.Compute/virtualMachines/read
  4. 'असाइन करने योग्य स्कोप्स' को परिभाषित करें (जहां फ़ंक्शन का उपयोग किया जा सकता है)।
  5. समीक्षा + बनाएं पर क्लिक करें और फिर बनाएं पर क्लिक करें।

निर्माण के बाद, इस कस्टम भूमिका को अंतर्निहित भूमिका की तरह ही असाइन करें।

4. असाइनमेंट का प्रबंधन और ऑडिट करना

  • एक्सेस कंट्रोल (IAM) स्क्रीन पर, रोल असाइनमेंट्स टैब उस दायरे के लिए सभी अनुमतियों को सूचीबद्ध करता है।
  • इस सूची की नियमित रूप से समीक्षा करें. उस पहुंच को रद्द करने के लिए `निकालें' बटन का उपयोग करें जिसकी अब आवश्यकता नहीं है।

सर्वोत्तम प्रथाएँ

  • Azure AD समूहों का उपयोग करें: समूहों को भूमिकाएँ निर्दिष्ट करें, व्यक्तिगत उपयोगकर्ताओं को नहीं। दर्जनों आरबीएसी असाइनमेंट को प्रबंधित करने की तुलना में समूह सदस्यता का प्रबंधन करना आसान है।
  • संभव सबसे छोटा दायरा: यदि किसी उपयोगकर्ता को केवल एक संसाधन तक पहुंच की आवश्यकता है, तो उस संसाधन के दायरे में भूमिका निर्दिष्ट करें, न कि संसाधन समूह या सदस्यता के लिए।
  • Azure AD विशेषाधिकार प्राप्त पहचान प्रबंधन (PIM) का उपयोग करें: अत्यधिक विशेषाधिकार प्राप्त भूमिकाओं (मालिक, वैश्विक प्रशासक) के लिए, जस्ट-इन-टाइम (JIT) पहुंच को सक्षम करने के लिए PIM का उपयोग करें, जो प्रति व्यक्ति अनुदान देता हैअस्थायी मिशन और औचित्य की आवश्यकता है।

सामान्य समस्या निवारण

  • उपयोगकर्ता किसी संसाधन तक नहीं पहुंच सकता: सभी स्तरों (संसाधन, संसाधन समूह, सदस्यता) पर भूमिका असाइनमेंट की जाँच करें। अनुमतियाँ विरासत में मिली हैं. यह भी जांचें कि क्या कोई असाइनमेंट पहुंच को अवरुद्ध कर रहा है।
  • अनुमति विरोध: Azure RBAC एक एडिटिव मॉडल का अनुसरण करता है। यदि किसी उपयोगकर्ता के पास संसाधन समूह पर रीडर भूमिका है और उसके भीतर वीएम पर योगदानकर्ता है, तो अनुमतियाँ एक साथ जोड़ दी जाती हैं। हालाँकि, अस्वीकार असाइनमेंट को हमेशा प्राथमिकता दी जाती है। यदि कोई अस्वीकृत असाइनमेंट किसी कार्रवाई को अवरुद्ध करता है, तो पहुंच अस्वीकृत कर दी जाएगी, भले ही कोई भूमिका असाइनमेंट इसकी अनुमति देता हो [4]।
  • नई दी गई पहुंच काम नहीं करती: प्रचार-प्रसार की अनुमति मिलने में कुछ मिनटों की देरी हो सकती है। उपयोगकर्ता को साइन आउट करने और पोर्टल में वापस आने के लिए कहें।

निष्कर्ष

Azure RBAC के माध्यम से कम से कम विशेषाधिकार के सिद्धांत का अनुशासित कार्यान्वयन क्लाउड में सबसे प्रभावी सुरक्षा प्रथाओं में से एक है। अंतर्निहित भूमिकाओं का लाभ उठाकर, आवश्यकता पड़ने पर विस्तृत कस्टम भूमिकाएँ बनाकर और नियमित रूप से पहुंच का ऑडिट करके, संगठन नाटकीय रूप से अपने हमले की सतह को कम कर सकते हैं, संभावित उल्लंघन के प्रभाव को सीमित कर सकते हैं और नियामक मानकों का अनुपालन सुनिश्चित कर सकते हैं। Azure AD PIM जैसे उपकरण RBAC के पूरक हैं, सबसे महत्वपूर्ण पहुंच के लिए नियंत्रण और ऑडिटिंग की परतें जोड़ते हैं।

सन्दर्भ

[1] माइक्रोसॉफ्ट। (2023)। एज़्योर रोल-आधारित एक्सेस कंट्रोल (एज़्योर आरबीएसी) क्या है? [2] माइक्रोसॉफ्ट। (2023)। एज़्योर आरबीएसी के लिए सर्वोत्तम अभ्यास। [3] माइक्रोसॉफ्ट। (2023)। Azure अंतर्निहित फ़ंक्शन। [4] माइक्रोसॉफ्ट। (2023)। एज़्योर अस्वीकृत असाइनमेंट को समझें