التحكم في الوصول إلى HSM المدار

  • مقالة

تُعد Azure Key Vault Managed HSM خدمة سحابية تحمي مفاتيح التشفير. نظرا لأن هذه البيانات حساسة وحاسمة لعملك، فأنت بحاجة إلى تأمين وحدات أمان الأجهزة المدارة (HSMs) من خلال السماح للتطبيقات والمستخدمين المعتمدين فقط بالوصول إلى البيانات.

تقدم هذه المقالة نظرة عامة على نموذج التحكم يالوصول المُدار لوحدة HSM. يشرح المصادقة والتفويض، ويصف كيفية تأمين الوصول إلى HSMs المدارة.

إشعار

يدعم موفر موارد Azure Key Vault نوعين من الموارد: الخزائن وHSMs المدارة. ينطبق التحكم في الوصول الموضح في هذه المقالة فقط على HSMs المدارة. لمعرفة المزيد حول التحكم في الوصول إلى HSM المدار، راجع توفير الوصول إلى مفاتيح Key Vault والشهادات والأسرار باستخدام التحكم في الوصول المستند إلى الدور في Azure.

نموذج التحكم بالوصول

يتم التحكم في الوصول إلى HSM المدار من خلال واجهتين:

  • وحدة تحكم الإدارة
  • خطة البيانات

على مستوى الإدارة، يمكنك إدارة HSM نفسه. تتضمن العمليات في هذه الوحدة إنشاء وحدات HSM المدارة وحذفها واسترجاع خصائص وحدة HSM المدارة.

على مستوى البيانات، يمكنك العمل مع البيانات المخزنة في HSM مدار. أي أنك تعمل مع مفاتيح التشفير المدعومة من HSM. يمكنك إضافة المفاتيح وحذفها وتعديلها واستخدامها لتنفيذ عمليات التشفير وإدارة تعيينات الأدوار للتحكم في الوصول إلى المفاتيح وإنشاء نسخة احتياطية كاملة من HSM واستعادة نسخة احتياطية كاملة وإدارة مجال الأمان من واجهة مستوى البيانات.

للوصول إلى وحدة HSM المدارة في أي من الوحدتين، يجب أن يكون لدى كافة المتصلين المصادقة والتخويل المناسبين. تنشئ المصادقة هوية المتصل. يحدد التخويل العمليات التي يمكن للمتصل تنفيذها. يمكن أن يكون المتصل أي من أساسيات الأمان المحددة في معرف Microsoft Entra: المستخدم أو المجموعة أو كيان الخدمة أو الهوية المدارة.

تستخدم كلتا الوحدتين معرف Microsoft Entra للمصادقة. للتخويل، يستخدمون أنظمة مختلفة:

  • تستخدم وحدة الإدارة التحكم في الوصول المستند إلى الدور Azure (Azure RBAC)، وهو نظام تخويل مبني على Azure Resource Manager.
  • يستخدم مستوى البيانات RBAC المدار على مستوى HSM (التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار)، وهو نظام تخويل يتم تنفيذه وفرضه على مستوى HSM المدار.

عند إنشاء HSM مدار، يوفر الطالب قائمة بمسؤولي مستوى البيانات (يتم دعم جميع أساسيات الأمان). يمكن لهؤلاء المسؤولين فقط الوصول إلى مستوى بيانات HSM المدار لتنفيذ العمليات الرئيسية وإدارة تعيينات دور وحدة البيانات (التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار).

تستخدم نماذج الأذونات لكلتا الوحدتين نفس بناء الجملة، ولكن يتم فرضها على مستويات مختلفة، وتستخدم تعيينات الأدوار نطاقات مختلفة. يتم فرض وحدة الإدارة Azure RBAC بواسطة Azure Resource Manager، ويتم فرض التحكم في الوصول استنادا إلى الدور المحلي لمستوى البيانات HSM المدار بواسطة HSM المدار نفسه.

هام

لا يمنح منح وصول مستوى الإدارة إلى أساس الأمان الوصول إلى وحدة البيانات الأساسية للأمان. على سبيل المثال، لا يمكن لمدير الأمان مع الوصول إلى مستوى الإدارة الوصول تلقائيا إلى المفاتيح أو تعيينات دور مستوى البيانات. هذا العزل حسب التصميم، لمنع التوسع غير المقصود للامتيازات التي تؤثر على الوصول إلى المفاتيح المخزنة في HSM المدار.

ولكن هناك استثناء: يمكن لأعضاء دور microsoft Entra Global مسؤول istrator دائما إضافة مستخدمين إلى دور مسؤول istrator ل HSM المدار لأغراض الاسترداد، كما هو الحال عند عدم وجود أي حسابات HSM مسؤول istrator مدارة صالحة. لمزيد من المعلومات، راجع أفضل ممارسات معرف Microsoft Entra لتأمين دور global مسؤول strator.

على سبيل المثال، يمكن لمسؤول الاشتراك (لأن لديه أذونات المساهم لكافة الموارد في الاشتراك) حذف HSM مدار في اشتراكه. ولكن إذا لم يكن لديهم حق الوصول إلى مستوى البيانات الممنوح خصيصا من خلال التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار، فلا يمكنهم الوصول إلى المفاتيح أو إدارة تعيينات الأدوار في HSM المدار لمنح أنفسهم أو غيرهم حق الوصول إلى مستوى البيانات.

مصادقة Microsoft Entra

عند إنشاء HSM مدار في اشتراك Azure، يتم إقران HSM المدار تلقائيا بمستأجر Microsoft Entra للاشتراك. يجب تسجيل جميع المتصلين في كلتا الوحدتين في هذا المستأجر والمصادقة للوصول إلى وحدة HSM المدارة.

يصادق التطبيق مع معرف Microsoft Entra قبل استدعاء أي من المستويين. يمكن للتطبيق استخدام أي أسلوب مصادقة معتمد اعتمادا على نوع التطبيق. يكتسب التطبيق رمز مميز لمورد في الوحدة للوصول. المورد هو نقطة نهاية في مستوى الإدارة أو مستوى البيانات، اعتمادا على بيئة Azure. يستخدم التطبيق الرمز المميز ويرسل طلب REST API إلى نقطة نهاية HSM المدارة. لمعرفة المزيد، راجع تدفق المصادقة بأكمله.

استخدام آلية مصادقة واحدة لكلتا الوحدتين له العديد من الفوائد:

  • يمكن للمؤسسات التحكم مركزيا في الوصول إلى جميع HSMs المدارة في مؤسستها.
  • إذا غادر المستخدم المؤسسة، فسيفقد على الفور الوصول إلى جميع HSMs المدارة في المؤسسة.
  • يمكن للمؤسسات تخصيص المصادقة باستخدام الخيارات في معرف Microsoft Entra، مثل تمكين المصادقة متعددة العوامل للأمان المضاف.

نقاط نهاية المورد

وصول حسابات الأمان الأساسية للوحدات من خلال نقاط النهاية. تعمل عناصر التحكم بالوصول للوحدتين بشكل مستقل. لمنح وصول تطبيق لاستخدام المفاتيح في HSM مدار، يمكنك منح الوصول إلى مستوى البيانات باستخدام التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار. لمنح المستخدم حق الوصول إلى مورد HSM المدار لإنشاء HSMs المدارة وقراءتها وحذفها ونقلها وتحرير الخصائص والعلامات الأخرى، يمكنك استخدام Azure RBAC.

يعرض الجدول التالي نقاط النهاية لمستوى الإدارة ولوحة البيانات.

الوصول إلى الوحدة الوصول إلى نقاط النهاية العمليات آليات التحكم بالوصول
وحدة تحكم الإدارة عمومي:
management.azure.com:443
 إنشاء وحدات HSM المدارة وقراءتها وتحديثها وحذفها ونقلها

تعيين علامات وحدة HSM المُدارة		 Azure RBAC
خطة البيانات عمومي:
<hsm-name>.managedhsm.azure.net:443
 المفاتيح: فك التشفير، والتشفير،
إلغاء التغليف، والالتفاف، والتحقق، والتوقيع، والحصول على، والقائمة، والتحديث، وإنشاء، واستيراد، وحذف، والنسخ الاحتياطي، والاستعادة، والإزالة

إدارة دور وحدة البيانات (Managed HSM local RBAC): سرد تعريفات الأدوار وتعيين الأدوار وحذف تعيينات الأدوار وتحديد الأدوار المخصصة

النسخ الاحتياطي والاستعادة: النسخ الاحتياطي والاستعادة والتحقق من حالة عمليات النسخ الاحتياطي والاستعادة

مجال الأمان: تنزيل مجال الأمان وتحميله		 التحكم في الوصول استناداً إلى الدور المحلي لوحدة HSM المدارة

وحدة الإدارة والتحكم في الوصول استناداً إلى الدور من Azure

في مستوى الإدارة، يمكنك استخدام Azure RBAC لتخويل العمليات التي يمكن للمتصل تنفيذها. في نموذج Azure RBAC، يحتوي كل اشتراك Azure على مثيل معرف Microsoft Entra. يمكنك منح حق الوصول إلى المستخدمين والمجموعات والتطبيقات من هذا الدليل. يتم منح الوصول لإدارة موارد الاشتراك التي تستخدم نموذج توزيع Azure Resource Manager. لمنح حق الوصول، استخدم مدخل Microsoft Azure أو Azure CLI أو Azure PowerShell أو واجهات برمجة تطبيقات REST ل Azure Resource Manager.

يمكنك إنشاء مخزن مفاتيح في مجموعة موارد وإدارة الوصول باستخدام معرف Microsoft Entra. يمكنك منح المستخدمين أو المجموعات القدرة على إدارة مخازن المفاتيح في مجموعة موارد. يمكنك منح حق الوصول على مستوى نطاق معين عن طريق تعيين أدوار Azure المناسبة. لمنح حق الوصول إلى مستخدم لإدارة مخازن المفاتيح، يمكنك تعيين دور key vault Contributor محدد مسبقًا للمستخدم في نطاق معين. يمكن تعيين مستويات النطاق التالية إلى دور Azure:

  • مجموعة الإدارة: يتم تطبيق دور Azure المعين على مستوى الاشتراك على كافة الاشتراكات في مجموعة الإدارة هذه.
  • الاشتراك: يتم تطبيق دور Azure المعين على مستوى الاشتراك على كافة مجموعات الموارد والموارد الموجودة ضمن هذا الاشتراك.
  • مجموعة الموارد: يتم تطبيق دور Azure المعين على مستوى مجموعة الموارد على كافة الموارد في مجموعة الموارد هذه.
  • مورد محدد: يتم تطبيق دور Azure المعين لمورد محدد على هذا المورد. في هذه الحالة، المورد هو مخزن مفاتيح محدد.

تم تعريف العديد من الأدوار مسبقا. إذا كان الدور المحدد مسبقًا لا يتناسب مع احتياجاتك، يمكنك تحديد دورك الخاص. لمزيد من المعلومات، راجع التحكم في الوصول استناداً إلى الدور من Azure: الأدوار المضمنة.

وحدة البيانات والتحكم في الوصول استناداً إلى الدور المحلي لوحدة HSM المدارة

يمكنك منح حق وصول لحساب الأمان الأساسي لتنفيذ عمليات المفاتيح المحددة عن طريق تعيين دور. لكل تعيين دور، يجب تحديد دور ونطاق ينطبق عليه هذا التعيين. بالنسبة إلى التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار، يتوفر نطاقان:

  • / أو /keys: نطاق على مستوى HSM. يمكن لأساسيات الأمان التي تم تعيين دور لها في هذا النطاق تنفيذ العمليات المحددة في الدور لكافة الكائنات (المفاتيح) في HSM المدار.
  • /keys/<key-name>: نطاق مستوى المفتاح. يمكن لأساسيات الأمان التي تم تعيين دور لها في هذا النطاق تنفيذ العمليات المحددة في هذا الدور لجميع إصدارات المفتاح المحدد فقط.

الخطوات التالية