问题标签 [azure-security]

我的公司在 Azure 中跨多个订阅使用多种不同的产品，以及用于身份验证的 Azure Active Directory。

我希望我们的 IT 人员能够根据他们的角色访问特定类型的所有产品。例如，无论订阅或资源组如何，DBA 都应该有权访问所有 Azure SQL 数据库。

我的第一个想法是这必须作为 Azure AD 角色的一部分来完成，但我不清楚这如何适用于特定的产品类型。如果在 AD 角色之外有更好的方法，我肯定想知道更多。

之前已经发布了类似的问题（例如Azure Active Directory Groups/Roles），但我想查看是否有更新的解决方案。

我在 Azure 中有一个服务主体，它是在我为我的一项 Azure 资产打开托管服务标识时创建的。我想使用门户中的 App Registrations 区域向此 SP 授予权限（我知道我可以使用New-AzureADServiceAppRoleAssignment来做到这一点，但我想在这种情况下创建一个应用程序）。

服务主体有一个关联的应用程序，其 guid 在 AAD 刀片的企业应用程序部分中可见，但该应用程序 ID 在应用程序注册部分中不可见，Get-AzureRmADApplication也看不到它。

我可以使用 powershell 或 REST API 以某种方式更改与 MSI 服务主体关联的应用程序显示在该区域吗？

所以我对云中的容器比较陌生。

我已经使用Azure 容器实例（例如：https ://xpirit.com/2017/11/12/containers-as-a-service-in-azure/ ）和AKS（例如：https： //docs.microsoft.com/en-us/azure/aks/kubernetes-walkthrough-portal )

来自 On-Premise 世界....示例中丢失的是 IIDentity 的概念。

例如，如果我有一个 Windows 2012 服务器，运行一个 Windows 服务或一个 IIS 托管应用程序，那么就有 IIDentity 的想法。Windows 服务，它将是与运行 Windows 服务相关联的用户.....（通过代码或控制面板/服务中的属性设置）。使用 IIS，它是运行 App-Pool 的用途。

所以我分别读过

服务标识甚至托管服务标识。（例如：https ://anthonychu.ca/post/secrets-aspnet-core-key-vault-msi/ ）

这就是在暗示我。

运行时如何设置“IIdentity”

1. 在“Azure 容器实例”中运行的 dotnetcore 应用程序 ***
2. 在“Azure 容器实例”中运行的 java 应用程序 *****
3. 在“AKS”中运行的 dotnetcore 应用程序 ***
4. 在“AKS”中运行的 java 应用程序 *****

还是我在叫错树？

===================

Docker“图像”如下

• ***“来自微软/aspnetcore:2.0”
• *****“来自 java:8”

我在安全中心创建了一个剧本，可以通过转到安全警报并单击剧本上的“运行”来手动触发剧本。

现在我想在有新的安全警报时自动触发这个剧本。

最初，我认为这些 Playbook 会自动触发，但是，仔细查看文档，它确实暗示它是手动执行的：

https://docs.microsoft.com/en-us/azure/security-center/security-center-playbooks

安全手册是一组程序，一旦从选定的警报触发某个手册，就可以从安全中心执行这些程序 。

是否有任何内置机制可以自动触发剧本，或者我是否需要设置一个SecurityAlert在 OMS 中查询的警报，然后有一个操作组将我的逻辑应用程序指定为操作类型？

如何授予具有相同电子邮件地址的个人和企业帐户、资源组的资源所有者？

在我的个人帐户中，我创建了一个资源组。我去Resource Gruops -> Access Control (IAM) -> Add User添加了我的电子邮件地址，但是当我使用我的企业帐户登录到 Azure 门户时，我无法切换到该目录。

我对来自公司网络的 DLP（数据泄露预防）有疑问。

我在公司网络上有一台虚拟机。VM 可以通过端口 1433 上的连接访问云中的 Azure SQL DB：aaa.database.windows.net。

但是，我不希望同一个 VM 连接到 bbb.database.windows.net。

Azure 对公共 IP 不提供任何保证（两台服务器可能显示为相同的 IP） - 我可以在公司的外围网络/防火墙上使用什么技术来允许访问 aaa 但不允许访问 bbb？

我担心的攻击是公司内部人员从 aaa 中查询数据并将其插入 bbb。例如，如果一台服务器是 ourcorporatedate.database.windows.net，另一台是 somerandom.database.windows.net，公司内部人员可以获取公司数据并将其写入某个随机数据库。

谢谢

有没有办法检测和监控服务主体仅从一组特定的 IP 地址使用？我不想 IP 限制我的整个目录。我有高级 AAD，我认为它具有我可以使用的功能，但我无法进行太多测试。我目前正在努力研究如何检测 SP 是否受到危害以及如何防止它。

我们的应用程序允许为组分配权限，这意味着对于每个用户，我们必须可靠地确定组成员身份。用户出示通过 ADAL 定期获得的令牌（一些使用 .NET，其他使用 NodeJS，其他使用 CLI）。

一些用户似乎正在发送带有以下声明的令牌：

Azure AD 令牌参考页中记录了该声明。

我们想为此添加一个测试用例，但是在执行此处和此处的步骤之后，我们总是会得到一个带有以下声明的令牌：

我们的设置有什么问题？为什么我们不能得到hasgroups索赔？

以下是一些附加信息：

• 应用程序类型是 Native（不是 WebApi）。
• 清单说"oauth2AllowImplicitFlow": true。
• 该应用程序被授予对 Azure Key Vault 的访问权限。

我们使用以下代码来获取令牌（在 C# 中）：

在哪里：

• _userName并且_password来自有很多组的用户。
• _clientId是本机应用程序的应用程序 ID - 带有"oauth2AllowImplicitFlow": true.
• _resource是https://vault.azure.net。

令牌已正确发出。唯一的问题是它显示_claim_namesand_claims_sources而不是hasgroups.

我们的订阅有 5 个资源组。根据 Microsoft 文档，在订阅级别设置时，较旧的“共同管理员”角色等同于较新的 RBAC 角色“所有者”。

https://docs.microsoft.com/en-us/azure/role-based-access-control/rbac-and-directory-admin-roles

服务管理员和共同管理员具有与在订阅范围内分配了所有者角色（Azure RBAC 角色）的用户的等效访问权限。

我没有看到这种行为。当我的帐户角色在订阅级别设置为所有者时，我看不到任何资源组。当我将同一个帐户设置为共同管理员时，我可以看到所有 5 个资源组。

如何使用较新的 RBAC 角色来允许所有者查看订阅中的所有资源组？

我们有一些使用 PAT 身份验证访问 VSTS 的外部服务。目前似乎只有个人用户可以创建 PAT 并将其部署到服务中。团队中的其他用户无权以任何方式访问 PAT，但有必要：

1. 审计 PAT 权利和特权。
2. 在用户 A 不可用的情况下，用户 B 撤销用户 A 创建的 PAT。
3. 管理 PAT 到期更换。

有没有一种方法可以让小组创建和管理 PAT？