Hardening Azure Tenant
Soha nem lehetünk elég óvatosak. A következő részben a Tenant-al kapcsolatos néhány alapbeállítást szeretném megosztani, amellyel javíthatunk a Tenant-unk biztonságán.
Új Tenant létrehozása korlátozása
Derült égből jött a lehetősége annak, hogy beállítható legyen, mely felhasználók tudjanak létrehozni a Tenantunkból másik Tenant-ot. Céges környezeten belül persze nem annyira preferált ez a mód, így javasolt ezt a lehetőséget hamar megvizsgálni. Ha “No”-ra állítjuk ezt a beállítási lehetőséget, akkor az “átlagos” felhasználó nem fog tudni másik Tenantot létrehozni a jelenlegi Tenantból.
Nyissuk meg a https://portal.azure.com-ot -> fenti keresőben írjuk be, hogy “Azure Active Directory” majd:
Előfizetés létrehozás korlátozása
Azure felhasználók alapértelmezetten self-service-ra lettek kitalálva, tehát meglehetősen sok jogot kapnak már alapértelmezetten is :) Ez egyrészről ideális, ha kicsi a csapat, gyorsan akarunk haladni stb.
Enterprise környezetben már nem biztos, hogy ez jó megoldás és valaki letiltaná azt. Szerencsére egy rövid parancs és már kész is.
MSOL itt lehet olvasni részletesebben
1
2
3
4
5
## AzureCLI
Set-MsolCompanySettings -AllowAdHocSubscriptions $false
Management Group létrehozás korlátozása
A Management Group egy nagyon hasznos és jó “eszköz”, amivel könnyen rendszerezhetjük az előfizetéseinket. Központilag kezelhetjük ezekkel a Policy-ket vagy a comliance-et is. Alapértelmezetten minden Azure AD security principal tud létrehozni management group-ot, aminek nem mindenki örül. Miután bekapcsoltuk ezt a korlátozást, utána RBAC alapra helyezzük át és a “Microsoft.Management/managementGroups/write” jogosultságra lesz szükségünk.
Beállítása:
Nyissuk meg a https://portal.azure.com -ot -> fenti keresőben írjuk be hogy “Management groups” majd:
Alapértelmezett Management Group, új előfizetéseknek
Amennyiben meghagyjuk a felhasználóknak a lehetőséget, hogy létrehozzanak új előfizetést, vagy biztosítunk valamilyen automatizmust, úgy célszerű beállítani az alapértelmezett “Management Group”-ot. Ennek köszönhetően, ha a tenant-ba érkezik egy új előfizetés, akkor nem a “Tenant Root Group” alatt fog megjelenni, hanem a kiválasztott Management Group alatt.
Beállítása:
Nyissuk meg a https://portal.azure.com -ot -> fenti keresőben írjuk be hogy “Management groups” majd:
Előfizetés kimozgatásának korlátozása a tanantból
Véletlenül vagy szándékosan, de megtörténhet az, hogy valaki elmozgat egy előfizetést a Tenant-unkból. Ebben az esetben, annak fügvényében hogy milyen előfizetés, azt már nehezen tudjuk visszaszerezni, illetve viszonylag könnyen eltüntethető benne pl a logok.
Tegyük fel :) elméletben megtörténhet, hogy van egy dolgozó/partner, akivel megromlott a viszony, owner jogosultsága van az előfizeten. Gondol egyet, elviszi az előfizetést a tenant-ból, benne minden tartalommal aztán lesz ami lesz benne…
Szerencsére Tenant szintjén állítható a dolog:
Nyissuk meg a https://portal.azure.com -ot -> fenti keresőben írjuk be hogy “Subscriptions” majd:
Természetesen mindig kellhet kivétel, erre ugyanitt van lehetőség, hogy megadjuk a felhasználókat itt
