谷咕云计算

我的Azure許可權血淚史：服務賬號金鑰洩露引發的48小時驚魂

"您的資料庫正在被異常匯出。"凌晨三點收到這條安全警報時，我渾身冷汗瞬間浸透睡衣——只因一個實習生誤傳了服務賬號金鑰到GitHub，公司三個月的訂單資料差點被黑產打包。作為剛接手Azure運維的菜鳥，我用這場安全災難換來這份許可權管理指南，字字都是真金白銀的教訓。

一、最小許可權原則：別讓賬號變成萬能鑰匙

踩坑現場

給運維賬號分配了"所有者"許可權，結果駭客透過該賬號刪除了所有備份檔案

正確配置

1. 登入Azure門戶 → 進入"訪問控制(IAM)"

2. 選擇"角色分配" → 點選"新增" → 選擇"儲存賬戶參與者"等細粒度角色

3. 設定許可權範圍限定到資源組級別

# 使用CLI分配只讀許可權
az role assignment create --assignee "[email protected]" --role "Reader" --resource-group "MyResourceGroup"

許可權等級表

二、金鑰輪換法則：別把密碼寫成生日

死亡案例

使用固定金鑰兩年未更換，被駭客暴力破解後植入挖礦程式

安全配置

1. 進入Key Vault → 選擇金鑰 → 啟用自動輪換策略

2. 設定90天強制更換週期（金融類建議30天）

3. 舊金鑰保留7天應急

金鑰強度對照表

三、訪問隔離策略：別讓前端鑰匙開後端門

真實災難

Web應用金鑰同時擁有資料庫讀寫許可權，SQL注入導致全庫洩露

隔離方案

1. 為每個服務建立獨立服務主體(Service Principal)

2. 使用Azure Policy強制隔離生產/測試環境

3. 啟用Just-In-Time訪問控制

# 使用Terraform建立隔離策略
resource "azurerm_role_assignment" "web_app" {
  scope                = azurerm_mysql_database.example.id
  role_definition_name = "Reader"
  principal_id         = azurerm_service_principal.web_app.id
}

四、監控審計鐵律：別做雲上盲人

救命工具

1. 啟用Azure Monitor收集所有操作日誌

2. 配置Kusto查詢即時告警

AzureActivity
| where OperationName == "Microsoft.KeyVault/vaults/secrets/write"
| project TimeGenerated, Caller, OperationName

3. 設定異常行為檢測規則（如凌晨金鑰下載）

審計黃金組合

五、金鑰儲存禁忌：別把核彈按鈕放門口

安全儲存金字塔

graph TD
    A[應用程式碼] -->|絕對禁止| B(硬編碼金鑰)
    --> C[環境變數]
    C --> D[託管標識]
    D --> E[Key Vault]
    E --> F[HSM硬體模組]

實操步驟

1. 刪除程式碼中的所有明文金鑰

2. 為應用分配託管標識(Managed Identity)

3. 在Key Vault中繫結訪問策略

// 安全訪問示例（C#）
var client = new SecretClient(
    new Uri("https://my-vault.vault.azure.net/"), 
    new DefaultAzureCredential());
KeyVaultSecret secret = client.GetSecret("my-secret");

終極安全自檢表

1. 所有賬號許可權≤實際需求

2. 金鑰輪換週期≤90天

3. 生產/測試環境完全隔離

4. 開啟關鍵操作即時告警

5. 零明文金鑰儲存

血淚忠告：每月第一個週一設為"安全日"，使用Azure Security Center全面掃描許可權配置。我的團隊現在執行"三不政策"——不共享賬號、不長期金鑰、不過度授權，安全事件發生率直降90%。記住：雲上安全沒有後悔藥，每個許可權都是駭客眼中的金鑰匙！

總結：靈活支付保障業務無憂

若需開通微軟企業國際賬戶，可透過微軟授權的代理商諮詢客服，提供註冊郵箱即可開通。
即時到賬，無需繫結支付方式。郵箱註冊無需實名登記全程技術免費服務
如有版權資訊問題，請及時溝通刪除