A Microsoft anunciou recentemente uma atualização de segurança para o Azure Bastion: a implementação de suporte a Managed Identities para o recurso de gravação de sessões gráficas. Até então, o processo de persistência de logs e vídeos de sessões em Storage Accounts exigia frequentemente a gestão de chaves de acesso SAS ou chaves de conta, o que introduzia um risco desnecessário de exposição de credenciais.
Para times de engenharia e segurança no Brasil, que operam sob regulações de compliance cada vez mais rigorosas, essa mudança é um movimento importante na direção do least privilege. Ao utilizar Managed Identities, a autenticação entre o Azure Bastion e o Storage Account passa a ser feita nativamente pela infraestrutura do Azure, utilizando o Microsoft Entra ID (antigo Azure AD), eliminando o gerenciamento manual de segredos e o risco de rotação inadequada.
Na prática, a configuração agora permite atribuir uma identidade ao recurso e conceder as permissões de escrita adequadas via Azure RBAC. Isso simplifica significativamente os fluxos de auditoria e garante que o controle de acesso seja centralizado, facilitando a implementação de auditorias de conformidade com mais agilidade e menos overhead operacional para a equipe de SRE.
Este recurso está atualmente em fase de Preview e deve ser testado em ambientes de dev/staging antes da homologação em produção, validando se as permissões de IAM para o Principal de Serviço do Bastion estão corretamente aplicadas ao destino dos logs.
Artigo originalmente publicado em Azure Updates - Latest from Azure Charts.
