安全专家关于 Azure 身份与访问管理的入门指南 媒体

了解 Microsoft Azure 的身份与访问管理 (IAM) 及安全威胁

关键要点

Microsoft Azure 仍然是攻击者和防御者相对陌生的领域。实际上，Microsoft Active Directory (AD) 的推出与 Kerberoast、Mimikatz 和 Responder 等攻击技术的发布之间的时间差，与 Azure 的发布到今天之间的时间差几乎相同。

双方攻击者与防御者仍在致力于理解 Azure 中导致安全漏洞或弱点的机制。我希望在此提供一个关于我正在研究的一个领域的简要介绍：身份与访问管理IAM和身份攻击路径。本文将探讨 Azure 中的三个主要身份系统，它们的工作方式，以及如何为对手提供机会，同时提供保障措施。

身份攻击路径是指攻击者利用合法用户凭证和特权，进行横向移动或提升特权，直到达到目标。这是许多 Azure 部署中的重大问题。攻击者可以借此方式窃取敏感信息或部署恶意软件，且由于依赖合法功能和凭证，防御者难以发现和阻止。攻击路径能够跨越云和本地 AD，攻击者还可以利用一个身份系统中的漏洞来规避另一个身份系统的安全保护。

Azure 的攻击路径比本地环境中的攻击路径更难以保护和管理，因为 Azure 中的身份结构更为复杂。Azure 中有多种并行和交叉的控制机制，因此仅仅审计哪些用户控制哪些对象就非常困难。此外，Azure 的快速变化、管理员对系统的相对了解不足相比于两十年来几乎未改变的本地 AD，以及 Azure 提供的信息有限等问题都加剧了这一困难。

在此背景下，我们来看 Azure 中的三种 IAM 系统：

IAM 系统说明Azure Active DirectoryMicrosoft 的主要基于云的身份与访问管理服务，覆盖用户、安全组和管理员角色。关系多为一对多。当用户被分配Azure AD管理员角色如“云应用管理员”时，他们有权访问该角色所能访问的一切。安全团队还可以配置其中一些管理员角色为“一对一”关系。应用、服务主体、设备和组也具有“显式所有权”机制，即角色的所有者对其拥有控制权，且与 AD 管理角色相分离。这些连接常常被误解，为攻击者提供了诸多机会。Azure Resource ManagerAzure 的部署与管理服务，管理管理组、订阅、资源组、虚拟机等计算资源。Azure Resource Manager 有自己的访问管理系统，称为 Azure 管理角色与 Azure AD 管理角色不同。这些角色总是一对一的关系，每个管理员控制单个对象。个别虚拟机、容器、数据库和密钥库也有自己的权限系统，可能与 Azure 管理角色相冲突。权限在 Azure 中是向下继承的，这意味着权限适用于管理组或订阅下的所有对象如资源组或虚拟机，管理员无法控制这一点。Azure Graph APIMicrosoft Graph 是一个 RESTful Web API，允许用户访问 Microsoft 云服务资源。Graph API 权限通常也是一对多的关系。Graph API 替代了一个较旧的 API，名称为 Azure AD API，尚在使用并方式类似。攻击者在此同样有机会例如，攻击者可能利用 MS Graph API 的 RoleManagementReadWriteDirectory 权限，自行授予 Global Admin 权限，甚至在未被分配任何 AzureAD 管理角色的情况下也可实现。

如何形成攻击路径

攻击者可以通过多种方式滥用这些权限。例如，为了提升自己为 Global Administrator从而完全控制 Azure AD 环境并掌控网络中的任何对象，他们可能会滥用针对虚拟机的“贡献者”角色，在虚拟机上执行特权命令。接下来，他们