Microsoft は「2023 State of Cloud Permissions Risk Report」を発表し、クラウド環境の拡大に伴い重要なクラウドリソースにアクセスする ID 種別の増加傾向について刮目する調査結果を示しており、ワークロード ID のセキュリティ保護の重要性を述べています。
New App Health Recommendations in Microsoft Entra Workload Identities - Microsoft Community Hub
「2023 State of Cloud Permissions Risk Report」
( AWS や Google Cloud にも触れられています)
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RW10qzO
- ワークロード ID は、人の ID を 10:1 で上回り、2021年の倍になっている
この大幅な増加により、新たなセキュリティリスクが生じる - ワークロード ID の 80% 以上が非アクティブであり、2021年に報告された割合の倍である
- ワークロード ID は、付与されたアクセス許可の 5% 未満しか使用していない
- ワークロード ID の約 70% が機密データにアクセスできる
非アクティブなワークロード ID や古いままの資格情報など、特に高い特権アクセス許可は侵害の標的になりやすいため、これら不要なものの削除は通常は影響を与えることなく出来るので、大幅なリスク軽減になります。
「Securing Non-human Identities」ホワイトペーパーによると、人以外の ID の数と種類の急速な増加が重要な変化で、セキュリティやコンプライアンスのリスクを避けて適切に ID管理することはますます困難になっています。
人以外の ID に関する問題解決のため、2022年11月に Microsoft Entra Workload Identities がリリースされました。
これにより、ワークロード ID の条件付きアクセス、Idenitity Protection、資格情報ポリシー、Access Review を構成できます。
どの ID に危険な構成があるか、完全削除する必要があるかを簡単に認識することが重要になっているため、Microsoft Entra Workload Identities の新機能である「アプリの正常性に関する推奨事項」が発表されました。
(プレビュー公開と思われます)
ワークロード ID の 80%以上が非アクティブなため、これらのアプリとサービスの可視化は重要です。
「アプリの正常性に関する推奨事項」機能は、たとえば、30日以上使用されていないアプリのアドレス指定、未使用のアプリ資格情報の削除、まもなく期限切れになる資格情報の更新など、推奨されるベストプラクティスを使用したガイダンスを提供します。
未使用のアプリや資格情報を削除すると、悪用や侵害のリスクが軽減され、適切な ID の検疫が促進されます。
これらの新機能の情報は、Azure AD の「概要」画面の「推奨設定」の一覧リストに表示されます。
各推奨事項には、問題の説明、アクション実行する利点、段階的な修復手順を含むアクションプランが表示されます。
Microsoft Entra Workload Identities の一部として最初に提供された3つの事項は以下です。
1.未使用のアプリケーション
2.未使用のアプリケーション資格情報
3.アプリケーション資格情報の期限切れ
推奨事項のステータスは、システムによって手動または自動で更新でき、アクションプランに従ってすべてのステータスが対処されていると、次回レコメンデーションサービスが実行された時に、自動的に「完了」に変わります。
(参考)
Azure Active Directory のレコメンデーション - 未使用のアプリを削除する (プレビュー) - Microsoft Entra | Microsoft Learn