ScubaGear项目中Azure AD特权角色评估对服务主体的支持增强

背景与需求分析

在云身份安全管理中，服务主体(Service Principal)作为非人类实体账户，常被赋予高权限角色以执行自动化任务。传统安全评估工具往往仅关注常规用户账户，而忽略了这类特殊主体的安全风险。ScubaGear作为CISA主导的云安全评估工具，其Azure AD模块7.1-7.5策略检查原设计仅评估常规用户和组账户，存在明显的安全覆盖缺口。

技术实现方案

核心发现

通过代码审查和Azure AD环境实测发现：

1. 服务主体仅支持"Active"分配模式，不适用于PIM的"Eligible"分配机制
2. 现有Get-MgBetaDirectoryRoleMember命令已能返回microsoft.graph.servicePrincipal类型对象
3. 需新增microsoft.graph.beta.applications模块以获取服务主体元数据

架构调整

# 新增模块依赖
Install-Module microsoft.graph.beta.applications

# 服务主体元数据获取示例
Get-MgBetaServicePrincipal -ServicePrincipalId [GUID]

数据处理流程优化

1. 在特权用户收集阶段增加服务主体类型判断
2. 对识别到的服务主体补充获取DisplayName等关键属性
3. 将标准化后的服务主体数据并入现有JSON输出结构

安全策略影响评估

策略编号	影响说明
7.1	全局管理员计数将包含服务主体
7.2	服务主体计入最小权限计算基数
7.3	无实质影响（服务主体无OnPremises属性）
7.4	永久性分配的服务主体将触发策略失败
7.5	非PIM管理的服务主体分配将视为不合规

实施建议与风险缓释

1. 例外处理机制：建议通过配置文件排除合法业务需要的服务主体
2. 监控策略：对服务主体的角色分配建议建立独立监控指标
3. 生命周期管理：服务主体凭证应纳入严格的轮换机制

未来演进方向

当前实现采用"监控优先"策略，后续将基于实际运行数据：

1. 制定服务主体专属基线策略
2. 开发针对服务主体的特殊检查项
3. 优化PIM集成方案

该增强使ScubaGear对Azure AD特权访问的评估更加全面，为组织提供了更完整的安全态势视图。实施时需注意平衡安全要求与自动化业务需求，建议配合详细的文档说明和培训。