إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تُعد Azure Key Vault Managed HSM خدمة سحابية تحمي مفاتيح التشفير. نظرا لأن هذه البيانات حساسة وحاسمة لعملك، فأنت بحاجة إلى تأمين وحدات أمان الأجهزة المدارة (HSMs) من خلال السماح للتطبيقات والمستخدمين المعتمدين فقط بالوصول إلى البيانات.
تقدم هذه المقالة نظرة عامة على نموذج التحكم يالوصول المُدار لوحدة HSM. يشرح المصادقة والتفويض، ويصف كيفية تأمين الوصول إلى HSMs المدارة. للحصول على إرشادات عملية للتنفيذ، راجع الوصول الآمن إلى HSMs المدارة.
ملاحظة
يدعم موفر موارد Azure Key Vault نوعين من الموارد: المخازن وHSMs المدارة . ينطبق عنصر التحكم في الوصول الموضح في هذه المقالة فقط على HSMs المدارة. لمعرفة المزيد حول التحكم في الوصول إلى خزائن Key Vault، راجع توفير الوصول إلى مفاتيح Key Vault والشهادات والأسرار باستخدام التحكم في الوصول المستند إلى دور Azure.
نموذج التحكم بالوصول
يتم التحكم في الوصول إلى HSM المدار من خلال واجهتين:
- مستوى التحكم
- خطة البيانات
على مستوى التحكم، تدير جهاز HSM نفسه. تتضمن العمليات في هذه الوحدة إنشاء وحدات HSM المدارة وحذفها واسترجاع خصائص وحدة HSM المدارة.
على مستوى البيانات، يمكنك العمل مع البيانات المخزنة في HSM مدار. أي أنك تعمل مع مفاتيح التشفير المدعومة من HSM. يمكنك إضافة المفاتيح وحذفها وتعديلها واستخدامها لتنفيذ عمليات التشفير وإدارة تعيينات الأدوار للتحكم في الوصول إلى المفاتيح وإنشاء نسخة احتياطية كاملة من HSM واستعادة نسخة احتياطية كاملة وإدارة مجال الأمان من واجهة مستوى البيانات.
للوصول إلى وحدة HSM المدارة في أي من الوحدتين، يجب أن يكون لدى كافة المتصلين المصادقة والتخويل المناسبين. تنشئ المصادقة هوية المتصل. يحدد التخويل العمليات التي يمكن للمتصل تنفيذها. يمكن أن يكون المتصل أي من أساسيات الأمان التي تم تعريفها في معرف Microsoft Entra: المستخدم أو المجموعة أو كيان الخدمة أو الهوية المدارة.
تستخدم كلتا الوحدتين معرف Microsoft Entra للمصادقة. للتخويل، يستخدمون أنظمة مختلفة:
- يستخدم مستوى التحكم نظام التحكم في الوصول القائم على الأدوار في Azure (Azure RBAC)، وهو نظام تفويض مبني على Azure Resource Manager.
- يستخدم مستوى البيانات RBAC المدار على مستوى HSM (التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار)، وهو نظام تخويل يتم تنفيذه وفرضه على مستوى HSM المدار.
عند إنشاء HSM مدار، يوفر الطالب قائمة بمسؤولي مستوى البيانات (يتم دعم جميع أساسيات الأمان ). يمكن لهؤلاء المسؤولين فقط الوصول إلى مستوى بيانات HSM المدار لتنفيذ العمليات الرئيسية وإدارة تعيينات دور وحدة البيانات (التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار).
تستخدم نماذج الأذونات لكلتا الوحدتين نفس بناء الجملة، ولكن يتم فرضها على مستويات مختلفة، وتستخدم تعيينات الأدوار نطاقات مختلفة. يتم تطبيق مستوى التحكم Azure RBAC بواسطة Azure Resource Manager، ومستوى البيانات Managed HSM local RBAC يتم تطبيقه بواسطة HSM المدار نفسه.
هام
منح مستوى التحكم حق الوصول إلى مبدأ الأمان لا يمنح مستوى بيانات المبدأ الأمني وصولا. على سبيل المثال، مدير الأمن الذي لديه وصول إلى مستوى التحكم لا يملك تلقائيا صلاحيات المفاتيح أو تعيين أدوار في مستوى البيانات. هذا العزل حسب التصميم، لمنع التوسع غير المقصود للامتيازات التي تؤثر على الوصول إلى المفاتيح المخزنة في HSM المدار.
ولكن هناك استثناء: يمكن لأعضاء دور المسؤول العام ل Microsoft Entra دائما إضافة مستخدمين إلى دور مسؤول HSM المدار لأغراض الاسترداد، على سبيل المثال عندما لا تكون هناك أي حسابات مسؤول HSM مدارة صالحة. لمزيد من المعلومات، راجع أفضل ممارسات معرف Microsoft Entra لتأمين دور المسؤول العام.
على سبيل المثال، يمكن لمسؤول الاشتراك (لأن لديه أذونات المساهم لكافة الموارد في الاشتراك) حذف HSM مدار في اشتراكه. ولكن إذا لم يكن لديهم حق الوصول إلى مستوى البيانات الممنوح من خلال التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار، فلا يمكنهم الوصول إلى المفاتيح أو إدارة تعيينات الأدوار في HSM المدار لمنح أنفسهم أو غيرهم حق الوصول إلى مستوى البيانات.
مصادقة Microsoft Entra
عند إنشاء HSM مدار في اشتراك Azure، يتم إقران HSM المدار تلقائيا بمستأجر Microsoft Entra للاشتراك. يجب تسجيل جميع المتصلين في كلتا الوحدتين في هذا المستأجر والمصادقة للوصول إلى HSM المدار.
يصادق التطبيق مع معرف Microsoft Entra قبل استدعاء أي من المستويين. يمكن للتطبيق استخدام أي أسلوب مصادقة مدعوم اعتمادا على نوع التطبيق. يكتسب التطبيق رمزا مميزا لمورد في المستوى للوصول. المورد هو نقطة نهاية في مستوى التحكم أو مستوى البيانات، حسب بيئة Azure. يستخدم التطبيق الرمز المميز ويرسل طلب REST API إلى نقطة نهاية HSM المدارة. لمعرفة المزيد، راجع تدفق مصادقة بأكمله.
استخدام آلية مصادقة واحدة لكلتا الوحدتين له العديد من الفوائد:
- يمكن للمؤسسات التحكم مركزيا في الوصول إلى جميع HSMs المدارة في مؤسستها.
- إذا غادر المستخدم المؤسسة، فسيفقد على الفور الوصول إلى جميع HSMs المدارة في المؤسسة.
- يمكن للمؤسسات تخصيص المصادقة باستخدام الخيارات في معرف Microsoft Entra، مثل تمكين المصادقة متعددة العوامل للأمان المضاف.
نقاط نهاية الموارد
وصول أساسيات الأمان إلى المستويات من خلال نقاط النهاية. تعمل عناصر التحكم في الوصول للوحدتين بشكل مستقل. لمنح وصول تطبيق لاستخدام المفاتيح في HSM مدار، يمكنك منح الوصول إلى مستوى البيانات باستخدام التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار. لمنح المستخدم حق الوصول إلى مورد HSM المدار لإنشاء HSMs المدارة وقراءتها وحذفها ونقلها وتحرير الخصائص والعلامات الأخرى، يمكنك استخدام Azure RBAC.
يوضح الجدول التالي نقاط النهاية لمستوى التحكم ومستوى البيانات.
| مستوى الوصول | الوصول إلى نقاط النهاية | العمليات | آلية التحكم في الوصول |
|---|---|---|---|
| مستوى التحكم |
العمومي:management.azure.com:443 |
إنشاء HSMs المدارة وقراءتها وتحديثها وحذفها ونقلها تعيين علامات HSM المدارة |
Azure RBAC |
| خطة البيانات |
العمومي:<hsm-name>.managedhsm.azure.net:443 |
مفاتيح : فك التشفير والتشفير إلغاء التغليف، والالتفاف، والتحقق، والتوقيع، والحصول على، والقائمة، والتحديث، وإنشاء، واستيراد، وحذف، والنسخ الاحتياطي، والاستعادة، والإزالة إدارة دور مستوى البيانات (التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار): سرد تعريفات الأدوار وتعيين الأدوار وحذف تعيينات الأدوار وتحديد الأدوار المخصصة النسخ الاحتياطي والاستعادة: النسخ الاحتياطي والاستعادة والتحقق من حالة عمليات النسخ الاحتياطي والاستعادة مجال الأمان: تنزيل مجال الأمان وتحميله |
التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار |
Control plane و Azure RBAC
في مستوى التحكم، تستخدم Azure RBAC لتفويض العمليات التي يمكن للمتصل تنفيذها. في نموذج Azure RBAC، يحتوي كل اشتراك Azure على مثيل معرف Microsoft Entra. يمكنك منح حق الوصول إلى المستخدمين والمجموعات والتطبيقات من هذا الدليل. يتم منح الوصول لإدارة موارد الاشتراك التي تستخدم نموذج توزيع Azure Resource Manager. لمنح حق الوصول، استخدم مدخل Azureأو Azure CLI أو Azure PowerShell أو واجهات برمجة تطبيقات REST ل Azure Resource Manager.
يمكنك إنشاء مخزن مفاتيح في مجموعة موارد وإدارة الوصول باستخدام معرف Microsoft Entra. يمكنك منح المستخدمين أو المجموعات القدرة على إدارة خزائن المفاتيح في مجموعة موارد. يمكنك منح حق الوصول على مستوى نطاق معين عن طريق تعيين أدوار Azure المناسبة. لمنح حق الوصول إلى مستخدم لإدارة خزائن المفاتيح، يمكنك تعيين دور key vault Contributor محدد مسبقا للمستخدم في نطاق معين. يمكن تعيين مستويات النطاق التالية إلى دور Azure:
- Management group: ينطبق دور Azure المعين على مستوى الاشتراك على جميع الاشتراكات في مجموعة الإدارة هذه.
- الاشتراك: يتم تطبيق دور Azure المعين على مستوى الاشتراك على كافة مجموعات الموارد والموارد الموجودة ضمن هذا الاشتراك.
- مجموعة الموارد: يتم تطبيق دور Azure المعين على مستوى مجموعة الموارد على كافة الموارد في مجموعة الموارد هذه.
- مورد محدد: يتم تطبيق دور Azure المعين لمورد محدد على هذا المورد. في هذه الحالة، المورد هو مخزن مفاتيح محدد.
تم تعريف العديد من الأدوار مسبقا. إذا كان الدور المحدد مسبقًا لا يتناسب مع احتياجاتك، يمكنك تحديد دورك الخاص. لمزيد من المعلومات، راجع Azure RBAC: الأدوار المضمنة.
وحدة البيانات والتحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار
يمكنك منح حق الوصول الأساسي للأمان لتنفيذ عمليات رئيسية محددة عن طريق تعيين دور. لكل تعيين دور، يجب تحديد دور ونطاق ينطبق عليه هذا التعيين. بالنسبة إلى التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار، يتوفر نطاقان:
-
/أو/keys: نطاق على مستوى HSM. يمكن لأساسيات الأمان التي تم تعيين دور لها في هذا النطاق تنفيذ العمليات المحددة في الدور لكافة الكائنات (المفاتيح) في HSM المدار. -
/keys/<key-name>: نطاق مستوى المفتاح. يمكن لأساسيات الأمان التي تم تعيين دور لها في هذا النطاق تنفيذ العمليات المحددة في هذا الدور لجميع إصدارات المفتاح المحدد فقط.
يحتوي التحكم في الوصول استنادا إلى الدور المحلي لوحدة أمان الأجهزة المدارة على العديد من الأدوار المضمنة لمعالجة سيناريوهات التحكم في الوصول المختلفة. للحصول على قائمة كاملة بالأدوار وأذوناتها، انظر الأدوار المدمجة في RBAC المحلية المدارة ل HSM المدارة.
إدارة الهويات المتميزة (PIM) لـ Microsoft Entra
لتحسين أمان الأدوار الإدارية، استخدم Microsoft Entra Privileged Identity Management (PIM). تتيح إدارة الهويات المتميزة الوصول في الوقت المناسب، ما يقلل من مخاطر الامتيازات الإدارية الدائمة. كما يوفر رؤية لتعيينات الأدوار ويفرض مهام سير عمل الموافقة للوصول المرتفع.
الفصل بين الواجبات والتحكم في الوصول
من أفضل الممارسات الأمنية فصل الواجبات بين أدوار الفريق ومنح الحد الأدنى من الوصول المطلوب فقط لوظائف وظيفية محددة. يساعد هذا المبدأ على منع الوصول غير المصرح به ويحد من التأثير المحتمل للإجراءات العرضية أو الضارة.
عند تنفيذ التحكم في الوصول ل HSM المدار، ضع في اعتبارك إنشاء هذه الأدوار الوظيفية الشائعة:
- فريق الأمان: يحتاج إلى أذونات لإدارة HSM والتحكم في دورات حياة المفتاح وتكوين إعدادات التحكم في الوصول.
- مطوري التطبيقات: يحتاج إلى مراجع للمفاتيح دون الحاجة إلى الوصول المباشر إلى HSM.
- الخدمة/التعليمات البرمجية: يحتاج إلى أذونات لتنفيذ عمليات تشفير معينة أثناء تقييده من وظائف إدارة المفاتيح الأوسع.
- مراجعو الحسابات: يحتاج إلى قدرات مراقبة وتسجيل الوصول دون أذونات لتعديل إعدادات HSM أو المفاتيح.
وينبغي منح كل من هذه الأدوار المفاهيمية الأذونات المحددة اللازمة لأداء مسؤولياته فقط. يتطلب تنفيذ فصل المهام تعيين أدوار في مستوى التحكم (Azure RBAC) ومستوى البيانات (RBAC المحلي المدار).
للحصول على برنامج تعليمي مفصل حول تنفيذ فصل الواجبات مع أمثلة محددة والأوامر Azure CLI، راجع الوصول الآمن إلى HSMs المدارة الخاصة بك.
الخطوات التالية
- للحصول على برنامج تعليمي للبدء لمسؤول، راجع ما هو HSM المدار؟.
- للحصول على تفاصيل حول إدارة الأدوار، راجع التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار.
- لمزيد من المعلومات حول تسجيل الاستخدام ل HSM المدار، راجع تسجيل HSM المدار.
- للحصول على دليل تنفيذ عملي حول التحكم في الوصول، راجع الوصول الآمن إلى HSMs المدارة.