Implementatie van minimaal toegangsbeleid in Azure met RBAC (Role-Based Access Control)

Implementatie van minimaal toegangsbeleid in Azure met RBAC (Role-Based Access Control)

10/08/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het implementeren en beheren van minimaal toegangsbeleid in Azure met behulp van op rollen gebaseerd toegangscontrole (RBAC). Azure RBAC is een autorisatiesysteem waarmee u kunt beheren wie toegang heeft tot Azure-resources, wat ze met die resources kunnen doen en tot welke gebieden ze toegang hebben. Het toepassen van het principe van ‘least privilege’ is van cruciaal belang om het aanvalsoppervlak te verkleinen en de beveiligingsrisico’s in elke cloudomgeving te beperken [1].

Introductie

In een dynamische cloudomgeving als Azure, waar voortdurend bronnen worden aangemaakt, gewijzigd en verwijderd, is het een voortdurende uitdaging om ervoor te zorgen dat gebruikers en services alleen de machtigingen hebben die ze nodig hebben om hun taken uit te voeren. Azure RBAC is de eigen tool van Azure voor het implementeren van het principe van minimale bevoegdheden, waardoor organisaties gedetailleerde machtigingen kunnen definiëren en de toegang effectief kunnen beheren [2].

Deze praktische handleiding behandelt de fundamentele concepten van Azure RBAC, inclusief rollen, bereiken en roltoewijzingen, met stapsgewijze instructies voor het maken en toewijzen van rollen, het beheren van toewijzingen en het valideren van machtigingen.

Waarom zijn Azure RBAC en het principe van minste bevoegdheden cruciaal?

  • Vermindering van aanvalsoppervlak: beperkt de potentiële impact van een gecompromitteerd account.
  • Naleving van regelgeving: Helpt te voldoen aan audit- en nalevingsvereisten (LGPD, AVG, HIPAA).
  • Verbeterd bestuur: Biedt een duidelijk model voor het beheren en controleren van machtigingen.
  • Voorkomen van accidentele fouten: verkleint de kans op accidentele schade aan kritieke bronnen.

Vereisten

  1. Actief Azure-abonnement.
  2. Administratieve toegang: Heeft de rol van Eigenaar of Gebruikerstoegangsbeheerder in het gewenste bereik [3].

Stap voor stap: Azure RBAC implementeren

1. Azure RBAC-componenten begrijpen

  • Beveiligingsentiteit: wie toegang krijgt (gebruiker, groep, etc.).
  • Roldefinitie: Wat kan worden gedaan (verzameling van machtigingen). Bijvoorbeeld: 'Lezer', 'Bijdrager'.
  • Reikwijdte: waar de toegang van toepassing is (abonnement, resourcegroep, enz.).

Een Roltoewijzing is de combinatie van deze drie elementen.

2. Interne rollen toewijzen

  1. Navigeer in de Azure-portal naar de gewenste resource of scope (bijvoorbeeld: een resourcegroep).
  2. Selecteer Toegangscontrole (IAM).
  3. Klik op + Toevoegen > Roltoewijzing toevoegen.
  4. Selecteer op het tabblad 'Rol' de gewenste rol (bijvoorbeeld: 'Lezer').
  5. Selecteer op het tabblad 'Leden' de gebruiker, groep of service-principal.
  6. Klik op 'Bekijken + toewijzen' om te voltooien.

3. Aangepaste functies maken

Wanneer ingebouwde functies niet voldoende zijn, maakt u een aangepaste functie.

  1. Klik in Toegangsbeheer (IAM) voor een abonnement op + Toevoegen > Aangepaste rol toevoegen.
  2. Geef de rol een naam (bijvoorbeeld Beperkte VM-operator).
  3. Voeg onder 'Permissies' de specifieke vereiste acties toe. Voorbeeld voor een VM-operator:
    • Microsoft.Compute/virtualMachines/start/action
    • Microsoft.Compute/virtualMachines/restart/action
    • Microsoft.Compute/virtualMachines/lezen
  4. Definieer de Toewijsbare Scopes (waar de functie kan worden gebruikt).
  5. Klik op 'Bekijken + aanmaken' en vervolgens op 'Maken'.

Wijs deze aangepaste rol na het maken op dezelfde manier toe als een ingebouwde rol.

4. Opdrachten beheren en controleren

  • Op het scherm Toegangsbeheer (IAM) vermeldt het tabblad Roltoewijzingen alle machtigingen voor dat bereik.
  • Bekijk deze lijst regelmatig. Gebruik de knop 'Verwijderen' om toegang die niet langer nodig is, in te trekken.

Beste praktijken

  • Gebruik Azure AD-groepen: wijs rollen toe aan groepen, niet aan individuele gebruikers. Het beheren van groepslidmaatschappen is eenvoudiger dan het beheren van tientallen RBAC-toewijzingen.
  • Kleinst mogelijke reikwijdte: als een gebruiker toegang nodig heeft tot slechts één resource, wijst u de rol toe binnen het bereik van die resource, niet de resourcegroep of het abonnement.
  • Gebruik Azure AD Privileged Identity Management (PIM): voor zeer geprivilegieerde rollen (Eigenaar, Global Administrator) gebruikt u PIM om just-in-time (JIT)-toegang in te schakelen, die pertijdelijke missies en vereist rechtvaardiging.

Algemene probleemoplossing

  • Gebruiker heeft geen toegang tot een resource: controleer roltoewijzingen op alle niveaus (resource, resourcegroep, abonnement). Machtigingen worden overgenomen. Controleer ook of er een Toewijzing weigeren is die de toegang blokkeert.
  • Machtigingsconflicten: Azure RBAC volgt een additief model. Als een gebruiker de rol 'Lezer' heeft voor de resourcegroep en 'Bijdrager' voor een VM daarin, worden de machtigingen bij elkaar opgeteld. Weigeropdrachten hebben echter altijd voorrang. Als een weigeringstoewijzing een actie blokkeert, wordt de toegang geweigerd, zelfs als een roltoewijzing dit toestaat [4].
  • Nieuw verleende toegang werkt niet: het kan een paar minuten duren voordat de machtigingen worden doorgegeven. Vraag de gebruiker om zich af te melden en weer aan te melden bij de portal.

Conclusie

Gedisciplineerde implementatie van het principe van minimale privileges via Azure RBAC is een van de meest effectieve beveiligingspraktijken in de cloud. Door gebruik te maken van ingebouwde rollen, indien nodig gedetailleerde aangepaste rollen te creëren en de toegang regelmatig te controleren, kunnen organisaties hun aanvalsoppervlak drastisch verkleinen, de impact van een potentiële inbreuk beperken en naleving van wettelijke normen garanderen. Tools zoals Azure AD PIM vormen een aanvulling op RBAC en voegen lagen van controle en auditing toe voor de meest kritieke toegang.

Referenties

[1]Microsoft. (2023). Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)? [2]Microsoft. (2023). Best practices voor Azure RBAC. [3]Microsoft. (2023). Azure ingebouwde functies. [4]Microsoft. (2023). Begrijp de geweigerde toewijzingen van Azure.