iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 14
2
Security

麻瓜不敗!白魔法藍天煉金術系列 第 14

[Day 14] 技能解封中間章程-角色權力保衛戰(RBAC)

  • 分享至 

  • xImage
  •  

前言回顧

技能解封初始篇章-暴力黃袍加身(Azure Privileged Identity)
https://ithelp.ithome.com.tw/upload/images/20190908/20025481zr6afutGYz.jpg

已領取技能符石

https://ithelp.ithome.com.tw/upload/images/20190919/2002548104wlkyddM2.png

解封技能樹(Start)

https://ithelp.ithome.com.tw/upload/images/20190917/20025481DSLIpGPHK2.png

適合的勇者?

曾經遭逢資安事件打擊者。

資安事件觀望者。

資安探索者。

IT過路人。

資安潛水幫。

資安擺渡人。*

https://ithelp.ithome.com.tw/upload/images/20190907/20025481886Opddny2.jpg

學完可以帶走甚麼?

種下資安的芽在自己心中讓資安意識更強大。

自己的資安生涯規劃師。

帶走心中的這棵樹,把樹傳出去。

你也可以是小小資安擺渡人。

單挑資安認證更有信心。

https://ithelp.ithome.com.tw/upload/images/20190907/20025481k086P7e0kc.jpg

瑪瑟爾 vs 迪亞波羅

https://ithelp.ithome.com.tw/upload/images/20190917/20025481BRCCYyv7cu.png

重整眾將權力遊戲

歷經魔神一步步利用各種手法裡應外合,誘惑天使城中眾將子民們讓我們受到網內互打的抨擊,瑪瑟爾決定要重整天使城中各個將士們的身心靈,無論是能擔大任的潛力新星又或是專職功能型天使各種天賦倍出,是該好好來重整一下天使城,讓每位天使都應該在各自最適的岡位上守護著家園子民也默默守護著人類,不讓魔神趁虛而入。重整權力的解析回到人類聽得懂的代名詞"角色為基礎的存取控制"小弟先簡述一下此服務究竟為何?

Role-based access control(RBAC)角色存取控制,是現今在資安領域廣為使用的一種存取控制機制,這不同於以往傳統強制對所以存取服務所有環境存取一律只有簡單的 On / Off 來對直接對使用者給予可能極大風險的權限,而是把權限依據任務角色來做給予。

RBAC 可以做什麼?

  • 允許A員僅能管理訂用帳戶中的虛擬機器,而B員則僅能管理虛擬網路服務。
  • 允許套用資料庫群組內的成員僅能管理訂用帳戶中的 SQL。
  • 允許專案成員可管理單一專案資源群組中的所有資源,包含裡面所有建立的虛擬機器、網站或儲存服務等等...
  • 允許僅虛擬機器可存取資源群組中的所有資源而非帳戶。

RBAC 最佳建議做法:
RBAC 可把組織角色權責最小化,僅給予作業服務標的本身所需的存取權限。除了一至兩組最高管理員外其餘接不授與他人 訂閱帳戶或資源本身無限大的存取權限,應該僅允許限制在特定範圍內執行特定動作。

下圖所示,我們可以運用 RBAC 建立角色指派來控制資源存取。角色指派包含以下三項組成:

  • 安全性主體 - 可當作是種物件,作為要求存取資源中的發起者,包含:用戶、群組、服務主體或受控識別。
  • 角色定義 - 為權力的集合。也就是我們常說的角色。 不管哪種角色細分都一定有每個的執行作業,如:讀取、寫入和刪除。而角色本身除了帳戶擔任外也可以是服務資源如:虛擬機讀取。
  • 範圍 - 套用存取權給一個所指定的資源範圍。如:從上至下層級範圍分別是管理群組 -> 訂用帳戶 -> 資源群組 -> 資源。範圍結構本身是父子式關聯性擁有繼承關係。

常用角色權限類型:

  • 擁有者 - 對所有資源具有完整存取控制外,還可以委派權限給其他帳戶。
  • 參與者 - 對所有資源具有完整存取控制外,還不可委派權限給其他帳戶。
  • 讀者 - 僅檢視讀取現有的 Azure 資源。
  • 使用者存取管理 - 可管理用戶對 Azure 資源的存取。
    PS:上述其兩項並不含對AAD本身有任何存取任務的權限,如需要要另外增加 AAD 的全域管理角色權限的指派
    https://ithelp.ithome.com.tw/upload/images/20190919/20025481Jmd0SAncEf.png

內建和自訂角色的實際清單檢視
https://ithelp.ithome.com.tw/upload/images/20190919/20025481TwhWt9JP15.png

Azure RBAC 功能並無授權問題,在 Azure 訂閱帳戶中可直接免費使用此功能。

進一步理解角色關聯性:
遠古時代...Azure 上市時,只能透過三種角色來管理資源,分別是:帳戶管理員(1員)、服務管理員(1員)和共同管理員(<=200員)。
經過演化...Azure 開始有了角色型存取控制(RBAC)的觀念。可供更精細的資源存取管理。RBAC 有內建非常多元的內建角色,這些角色都可在不同範圍進行指派並讓你自己來自訂角色。
https://ithelp.ithome.com.tw/upload/images/20190919/20025481QnURAG7Qj9.png

Azure AD 管理角色:
用來管理目錄中的 Azure AD 資源如:建立帳戶,編修使用者屬性、將系統管理角色指派給其他帳戶、重設使用者密碼、管理用戶授權及管理網域等非常多的進階功能包含前述篇章不知道的可透過以下傳送門回顧。

  • 全域管理 - 管理 Azure Active Directory 中所有系統管理功能權限外還可以將管理員角色指派給他人。
  • 使用者管理 - 管理使用者與群組間所有功能包含支票證,服務健康情況,技術支援開立等..
  • 計費管理 - 可作新訂閱服務的採購,管理訂閱帳戶管理,支援票證及監視服務健康狀態等..

Azure AD 管理員角色的實際檢視清單
https://ithelp.ithome.com.tw/upload/images/20190919/20025481uSX9UMhBd8.png

前述 AAD 篇章傳送門回顧

Day 9. 技能解封初始篇章-非法隱身存取(O365 & Azure Cloud App Security)

Day 10. 技能解封初始篇章-攔截應用服務(Azure Application Proxy)

Day 11. 技能解封初始篇章-內鬼授權加持(Azure Dynamic Groups)

Day 12. 技能解封初始篇章-資源環境風險漏洞(Azure Conditional Access)

Day 13. 技能解封初始篇章-暴力黃袍加身。(Azure Privileged Identity)

實作工坊

而光說不練怎麼行,實驗環境中會把持續關注的你/妳帶到小弟我的 wordpress.com Blog連結內容如下:

技能解封中間章程-角色權力保衛戰(RBAC)

  1. Azure RBAC 架構。
  2. Azure RBAC Q&A。
  3. 簡易實作體驗。

上屆鐵人主題

如果有興趣對您有幫助也請多多支持,歡迎給小弟建議或互相交流!

Google Cloud 勇者的試煉

玩轉 Azure 於指尖隨心所欲


上一篇
[Day 13] 技能解封初始篇章-暴力黃袍加身(Azure Privileged Identity)
下一篇
[Day 15] 技能解封中間章程-城內防禦機關重啟(Azure Policy)
系列文
麻瓜不敗!白魔法藍天煉金術30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
阿展展展
iT邦好手 1 級 ‧ 2019-12-17 06:40:32

進入第三科技能樹了/images/emoticon/emoticon06.gif

我要留言

立即登入留言