Hacking-the-Cloud项目:Azure托管身份滥用分析与防御
项目地址: https://gitcode.com/gh_mirrors/ha/hackingthe.cloud 前言
在云计算安全领域,Azure托管身份(Managed Identities)是一项重要的身份验证机制,但同时也可能成为攻击者利用的目标。本文将从技术角度深入分析托管身份的工作原理、潜在滥用风险以及防御措施。
托管身份基础概念
托管身份是Azure提供的一种自动管理服务主体身份的方式,主要分为两种类型:
- 系统分配身份:与特定Azure资源(如VM、Web应用等)绑定,生命周期与资源一致
- 用户分配身份:独立存在的身份资源,可分配给多个Azure资源使用
托管身份的核心价值在于消除代码中存储凭据的需求,通过Azure AD自动提供身份验证。
典型应用场景
考虑一个Web应用需要访问存储账户的场景:
计算资源(Web应用) → 托管身份 → 分配的角色 → 存储账户 → 特定容器
这种架构避免了在配置文件或源代码中硬编码连接字符串的安全风险。
权限配置实践
启用托管身份
在Azure门户中为Web应用启用托管身份后,可以为其配置角色分配。角色可以在不同层级设置:
- 订阅级别
- 资源组级别
- 单个资源级别(如存储账户、密钥保管库等)
权限会按照Azure资源层次结构向下传播。
内置角色分析
Azure提供多种内置角色,其中需要特别关注:
- 所有者(Owner):对资源拥有完全控制权
- 参与者(Contributor):可以读写资源内容
- 读取者(Reader):仅查看权限
管理员也可以创建自定义角色以满足特定需求。
滥用场景分析
攻击路径
假设攻击者已经通过命令注入等方式入侵了Web应用,可以利用托管身份进行横向移动:
- 获取托管身份令牌
- 使用令牌连接Azure管理接口
- 枚举可访问资源
- 尝试提升权限
具体攻击步骤
第一步:获取访问令牌
通过环境变量$IDENTITY_ENDPOINT获取令牌:
curl "$IDENTITY_ENDPOINT?resource=https://management.azure.com/&api-version=2017-09-01" -H secret:$IDENTITY_HEADER
第二步:连接Azure PowerShell
Connect-AzAccount -AccessToken <access_token> -AccountId <client_id>
第三步:资源枚举
Get-AzResource
第四步:尝试获取存储账户密钥
Get-AzStorageAccountKey -ResourceGroupName "目标资源组" -AccountName "存储账户名"
成功获取密钥后,攻击者可以使用Azure存储资源管理器访问所有容器,包括未明确授权的容器。
权限配置缺陷分析
在上述攻击场景中,存在几个关键配置问题:
- 权限范围过大:虽然Web应用只需要访问特定容器,但实际授予了整个存储账户的读取权限
- 密钥访问权限:不必要地授予了列出存储账户密钥的权限
- 缺乏最小权限原则:使用了包含过多权限的内置角色而非自定义角色
防御策略建议
权限配置最佳实践
-
遵循最小权限原则:
- 精确控制托管身份的权限范围
- 使用资源级别的角色分配而非订阅或资源组级别
-
自定义角色创建:
- 仅为托管身份配置执行其功能所需的最小权限集
- 避免授予列出密钥等高危权限
-
定期审计:
- 使用Azure Policy检查权限配置
- 定期审查角色分配和实际使用情况
安全监控措施
-
异常行为检测:
- 监控托管身份令牌获取模式
- 建立非工作时间访问的告警机制
-
日志分析:
- 收集和分析托管身份的活动日志
- 设置关键操作(如密钥列出)的实时告警
总结
Azure托管身份是强大的安全功能,但错误配置可能导致严重的安全风险。通过理解其工作原理和潜在滥用方式,安全团队可以更好地配置和监控托管身份,在享受其便利性的同时降低安全风险。关键是要始终坚持最小权限原则,并建立完善的监控机制。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
