Beveiligde toegang met managed identities

Azure-beveiliging implementeren voor developers

Anushika Agarwal

Cloud Data Engineer

Het probleem met secrets

  • Secrets hardcoded in code of config
  • Moeilijk te roteren of beveiligen

Risico van hardcoded secrets

Azure-beveiliging implementeren voor developers

Managed identity

  • Beveiligde identiteit toegewezen aan Azure-resource
  • Resource kan andere services veilig benaderen
  • Geen opslag van inloggegevens nodig

Managed Identity

Azure-beveiliging implementeren voor developers

Hoe werkt het?

  • Speciaal type service-principal
  • Volledig beheerd door Azure
  • Azure regelt aanmaken, rotatie en verwijdering

Managed Identity

Azure-beveiliging implementeren voor developers

Voorbeeld: PeopleSphere HR-app

  • Payrollmodule gebruikt managed identity om Key Vault te benaderen

Voorbeeld - PeopleSphere HR-app

Azure-beveiliging implementeren voor developers

Systeemgebonden managed identity

  • Provisioning

    • Azure maakt automatisch een identiteit aan
    • Geen credentials of handmatige setup nodig

  • Levenscyclus

    • Eindigt met de resource
    • Gebonden aan één resource

  • Toegangsbeheer

    • Rollen toewijzen via Azure RBAC

Azure-beveiliging implementeren voor developers

Gebruikersgebonden managed identity

  • Provisioning

    • Aangemaakt als losse Azure-resource
    • Eén access policy, meerdere resources

  • Levenscyclus

    • Herbruikbaar over meerdere services
    • Onafhankelijk van één resource

  • Toegangsbeheer

    • Rollen toewijzen via Azure RBAC

User-Assigned Managed Identity

Azure-beveiliging implementeren voor developers

Systeem vs. gebruiker: belangrijkste verschillen

Categorie Systeemgebonden Gebruikersgebonden
Provisioning Gemaakt met de resource Gemaakt als aparte resource
Levenscyclus Gekoppeld aan de levenscyclus van de resource Onafhankelijk van de resource-levenscyclus
Herbruikbaarheid Niet deelbaar tussen resources Herbruikbaar in meerdere services
Toegang Gebruikt Azure RBAC Gebruikt Azure RBAC
Use case Workloads voor één resource Meerdere resources of vooraf ingericht
Azure-beveiliging implementeren voor developers

Welke services ondersteunen managed identities?

  • Elke service die Microsoft Entra-authenticatie ondersteunt

  • Voorbeelden:

    • Virtual Machines
    • App Services
    • Azure Functions
    • Key Vault
    • Azure Storage

  • Volledige lijst: Microsoft Docs - Supported Services

Virtuele machines

App Services

Azure Functions

Key Vault

Azure Storage

Azure-beveiliging implementeren voor developers

Laten we oefenen!

Azure-beveiliging implementeren voor developers

Preparing Video For Download...