🪬

Microsoft Entra Permissions ManagementでJust Enough Access(最小権限)を実現する

2023/08/07に公開

モチベ

少し前に、「Azure Active Directory」のリブランドが走り、「Microsoft Entra ID」になるということが話題になりました。それに伴ってMicrosoft Entraを触っておこうと思いいろいろ概要をインプットしていたところ、Microsoft Entra Permissions Managementという機能によって"Just Enough Access"が割と実現しやすいということを知りました。個人的にお仕事でこの辺の最小権限を厳密にやるシナリオの話に当たることがよくあるので、その所感を試したいという感じ。

Microsoft Entra Permissions Management

概要はこのあたり

Microsoft Entra Permissions Management は、すべての ID に割り当てられたアクセス許可を包括的に可視化するクラウド インフラストラクチャ エンタイトルメント管理 (CIEM) ソリューションです。 たとえば、Microsoft Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) のマルチクラウド インフラストラクチャ全体で、過剰な特権が与えられたワークロードとユーザー ID、アクション、リソースなどが対象となります。
Permissions Management では、未使用および過剰なアクセス許可を検出し、自動的に適切なサイズに変更し、継続的に監視します。

https://learn.microsoft.com/ja-jp/azure/active-directory/cloud-infrastructure-entitlement-management/overview

Azure環境のオンボーディング

※予め、無料試用版を有効化しておく

  • [Microsoft Entra管理センター]の[アクセス許可の確認]からポータルを起動(Microsoft Entra Permissions Managementは専用のポータルがある)

Azure環境のオンボーディング

  • トップページの歯車アイコンからAzureを選択したうえで、[Create Configuration]をクリック

  • ここで、PowerShellのスクリプトを確認し、コピーする

    • ここではReaderロールを付与している
  • Azure PortalのCloudShell上で上記コマンドを実行

  • ※忘れずに下部の[Verify Now&Save]をクリック(なんともわかりづらい)

  • StatusがCollecting Inventoryとなる

これによって暫くするとAzureサブスクリプションと接続され、ダッシュボード上から確認できるようになる

ポータルの探索

上部のタブを順番に見ていく

DASHBOARD

  • 全体概要として傾向を確認できる画面

ANALYTICS

  • このタブがEntra Permission Managementの機能としては分かりやすい(気がする)
  • Identitiyの一覧とともにPCIの値として、権限リークが多そうなものがぱっと見でわかるようになっている
  • おそらく以下のような情報から算出している
    • Tasks
      • Granted: そのユーザに付与された権限数
      • Executed: そのユーザが過去90日間に実際に実行されたアクション数
    • Total Resources Accessible: アクセス可能なリソース数

REMEDIATION

  • ここでは、Identitiyに対して付与されている権限の探索や、Roleの付与、剥奪などの変更が可能

Just Enough Accessの実現

  • REMEDIATIONタブの中で過去のActivityに基づく権限付与≒カスタムロールの作成を行うことができる

  • [Create Role]からロールを作成フローを起動

  • ロール作成の元ネタを選択する、画像では特定の個人をベースに作る

  • 実際に与える権限を選択する

    • 画像では、今demoユーザが利用できるすべてのアクションのうち、ハイリスクなものについてはあえてチェックボックスを外した状態
    • そのうえで、[Select All]とすると、右側にアクション一覧が入ってくる

  • すると、カスタムロールの定義が生成されるため、ダウンロードして再利用などが可能

AUDIT

  • クエリを書くことで動的にデータの取得が可能

コスト

  • $10.40 リソース/月
  • ("リソース/月"...?)

https://www.microsoft.com/ja-jp/security/business/identity-access/microsoft-entra-permissions-management

おわり

  • 奥が深そうなので徐々に追記していく所存(45日間の無料トライアルのうちにいろいろ試そう)
GitHubで編集を提案
Microsoft (有志)

Discussion