Если VM1 скомпрометирована, правильно ли говорить, что никогда не будет никакого взаимодействия с VM2, потому что RBAC не позволяет
Не совсем, нет. RBAC полностью отделен от доступа к сети. Единственное, что связывает удостоверения со связью, - это то, что иногда вам нужно разрешить доступ к сети, если одному серверу нужно пройти проверку подлинности на другом с использованием принципала Azure Active Directory. Но их не следует путать.
Управляемое удостоверение - это, в основном, учетная запись компьютера, которая находится в Azure AD, точно так же, как учетная запись компьютера существует в вашей стандартной локальной Active Directory, которая необходима для разрешения компьютера. аутентифицировать пользователей, которые пытаются войти на сервер / рабочую станцию. Иногда у вас могут быть процессы, такие как службы Windows, работающие в контексте SYSTEM (выполняющиеся как учетная запись компьютера), которым требуется доступ к сетевым ресурсам, а контроль доступа позволяет предоставлять или запрещать доступ с помощью Active Directory.
Если машина Aимеет сетевой доступ к компьютеру B, и он скомпрометирован из-за уязвимости в IIS, например, вы могли явно запретить все разрешения от компьютера A к компьютеру B, но если на машине B также работает та же версия IIS, и машина A можетподключиться к нему, тогда RBAC не поможет.
Похоже ли это поведение на поведение ролей и разрешений AWS IAM?
Я не специалист по AWS, ноЯ собираюсь сказать, что, вероятно, это то же самое поведение, но опять-таки IAM и контроль доступа к сети - это не одно и то же.
Если я назначу роль VM1, то поговорим с VM2, а затем с VM2. я запрещаю доступ с VM1, какой оператор выигрывает?
На какую роль вы ссылаетесь? Доступ к сети осуществляется в NSG или брандмауэре, и роли распределяются между разрешениями, которые влияют на разрешения Windows в VM2 (разрешения ReFS / NTFS / проверка подлинности Windows и т. Д.). Единственный способ предоставить любой доступ к VM2 из VM1 с ролями - это назначить VM1 роль «Администратор облачного устройства». Любой получатель этой роли добавляется в группу локальных администраторов всех присоединенных компьютеров Azure AD. По умолчанию машина, подключенная к Azure AD, не имеет прав доступа к ресурсам других машин, за исключением, возможно, перечисления общих ресурсов на компьютере. Если у вас есть общий ресурс на компьютере, который разрешает доступ всем или доменным компьютерам, то да, машина может получить к нему доступ, но по умолчанию такие общие папки не открываются на компьютере с Windows.
Если вы хотите полностьюизолируйте две машины, затем примените NSG к обоим, чтобы запретить сетевой доступ между ними, но помните, что если у обеих машин есть общедоступная точка присутствия, вам также следует заблокировать это.