我刚刚用Azure编写了我的第一个应用程序。只是一个调用IoT服务的小型功能应用程序,突然它打了我-我不必创建任何IAM角色或任何东西。该应用程序刚刚运行。我试图在Azure上查找IAM服务,但一无所获。这将永远无法与AWS或Google Cloud配合使用。 Azure在任何地方都可以进行类似于IAM的管理吗?如果我的应用程序存在允许远程服务器端代码执行的错误,是否意味着攻击者基本上将获得对我整个Azure帐户的访问权限?
答案 0 :(得分:1)
Azure确实具有基于角色的访问控制和托管服务身份(您分配给Azure服务的身份,但并非所有服务都具有该身份)。如果您使用连接字符串(通常的模式),则如果您的应用程序遭到破坏,则不会发生任何事情。攻击者将可以与您的IoT中心(或您使用的任何设备)对话。
如果您使用的是托管服务身份,那么从理论上讲,攻击者可以代表该身份采取行动。因此,如果您授予该身份所有权限-是的。攻击者将能够做任何事情。
如果您的应用程序直接与Azure REST Api对话以创建\修改资源并遭到破坏-从理论上讲,攻击者将具有与应用程序相同的权限。
话虽如此,我认为Azure并不比AWS或GCP安全性低。除非您向该应用授予世界上所有的权限-否则它实际上无法管理Azure。