مشاركة عبر

دمج Azure Managed HSM مع Azure Policy

  • مقالة

نهج Azure هو أداة إدارة تمنح المستخدمين القدرة على تدقيق بيئة Azure لديهم وإدارتها على نطاق واسع. يوفر نهج Azure القدرة على وضع حواجز حماية على موارد Azure للتأكد من أنها متوافقة مع قواعد النهج المعينة. وهو يسمح للمستخدمين بإجراء التدقيق والفرض في الوقت الفعلي ومعالجة بيئة Azure لديهم. ستكون نتائج عمليات التدقيق التي يتم إجراؤها بواسطة النهج متاحة للمستخدمين في لوحة معلومات التوافق حيث سيتمكنون من رؤية التنقل لأسفل للموارد والمكونات المتوافقة والتي ليست متوافقة. لمزيد من المعلومات، يُرجى الرجوع إلى نظرة عامة على خدمة نهج Azure.

مثال على سيناريوهات الاستخدام:

  • لا يوجد لديك حالياً حل لإجراء تدقيق عبر مؤسستك، أو أنك تجري عمليات تدقيق يدوية لبيئة عملك من خلال مطالبة الفِرَق الفردية داخل مؤسستك بالإبلاغ عن توافقها. أنت تبحث عن طريقة لأتمتة هذه المهمة، وإجراء عمليات التدقيق في الوقت الفعلي، وضمان دقة التدقيق.
  • تريد فرض نهج أمان شركتك ومنع الأفراد من إنشاء مفاتيح تشفير معينة، ولكن ليس لديك طريقة تلقائية لمنع إنشائها.
  • تريد تخفيف بعض المتطلبات لفِرَق الاختبار لديك، ولكنك تريد الحفاظ على ضوابط صارمة على بيئة الإنتاج لديك. تحتاج إلى طريقة آلية بسيطة لفصل تنفيذ الموارد لديك.
  • تريد التأكد من أنه يمكنك التراجع عن فرض النهج الجديدة إذا كانت هناك مشكلة في الموقع المباشر. تحتاج إلى حل بنقرة واحدة لإيقاف تنفيذ النهج.
  • أنت تعتمد على حل جهة خارجية لتدقيق بيئتك وتريد استخدام عرض Microsoft داخلي.

أنواع الآثار والتوجيهات المتعلقة بالنهج

التدقيق: عند تعيين تأثير نهج إلى التدقيق، لن يؤدي النهج إلى أي تغييرات فاصلة على بيئتك. سوف تنبهك فقط إلى مكونات مثل المفاتيح التي لا تتوافق مع تعريفات النهج ضمن نطاق محدد، عن طريق وضع علامة على هذه المكونات على أنها غير متوافقة في لوحة معلومات التوافق مع النهج. يُحدّد التدقيق افتراضيا إذا لم يتم تحديد أي تأثير للنهج.

الرفض: عند تعيين تأثير النهج على الرفض، سيمنع النهج إنشاء مكونات جديدة مثل المفاتيح الأضعف، وسيحظر الإصدارات الجديدة من المفاتيح الموجودة التي لا تتوافق مع تعريف النهج. لا تتأثر الموارد غير المتوافقة الموجودة داخل HSM المدار. وستستمر قدرات "التدقيق" في العمل.

المفاتيح التي تستخدم تشفير المنحنى البيضاوي يجب أن تحمل أسماء المنحنيات المحددة

إذا كنت تستخدم تشفير المنحنى البيضاوي أو مفاتيح ECC، يمكنك تخصيص قائمة مسموح بها من أسماء المنحنيات من القائمة أدناه. يسمح الخيار الافتراضي لجميع أسماء المنحنى التالية.

  • P-256
  • P-256K
  • P-384
  • P-521

يجب تعيين تواريخ انتهاء الصلاحية للمفاتيح

يقوم هذا النهج بتدقيق جميع المفاتيح في HSMs المدارة ووضع علامات على المفاتيح التي لم يتم تعيين تاريخ انتهاء صلاحية لها على أنها غير متوافقة. يمكنك أيضاً استخدام هذا النهج لمنع إنشاء المفاتيح التي ليس لها تاريخ انتهاء صلاحية معيَّن.

يجب أن يكون للمفاتيح عدد من الأيام أكثر من العدد المحدد قبل انتهاء الصلاحية

إذا كان ثمة مفتاح قريب جداً من انتهاء الصلاحية، فقد يؤدي التأخير التنظيمي لتدوير المفتاح إلى انقطاع. يجب تدوير المفاتيح في عدد محدد من الأيام قبل انتهاء الصلاحية لتوفير الوقت الكافي للاستجابة بشأن الفشل. سيقوم هذا النهج بمراجعة المفاتيح القريبة جدا من تاريخ انتهاء صلاحيتها ويسمح لك بتعيين هذا الحد بالأيام. يمكنك أيضا استخدام هذا النهج لمنع إنشاء مفاتيح جديدة قريبة جدا من تاريخ انتهاء صلاحيتها.

يجب أن يكون للمفاتيح التي تستخدم تشفير RSA حد أدنى محدد لحجم المفتاح

استخدام مفاتيح RSA مع أحجام مفاتيح أصغر لا يُعدّ ممارسة تصميم آمنة. قد تخضع لمعايير التدقيق والاعتماد التي تفرض استخدام الحد الأدنى لحجم المفتاح. يسمح لك النهج التالي بتعيين الحد الأدنى لمتطلبات حجم المفتاح على HSM المدار. يمكنك تدقيق المفاتيح التي لا تفي بهذا الحد الأدنى من المتطلبات. يمكن استخدام هذا النهج أيضاً لمنع إنشاء مفاتيح جديدة لا تفي بمتطلبات حجم المفتاح الأدنى.

تمكين نهج HSM المدار وإدارته من خلال Azure CLI

منح الإذن للمسح الضوئي يوميا

للتحقق من توافق مفاتيح مخزون التجمع، يجب على العميل تعيين دور "مدقق تشفير HSM المدار" إلى "Azure Key Vault Managed HSM Key Governance Service"(معرف التطبيق: a1b76039-a76c-499f-a2dd-846b4cc32627) حتى يتمكن من الوصول إلى بيانات تعريف المفتاح. بدون منح الإذن، لن يتم الإبلاغ عن مفاتيح المخزون في تقرير التوافق مع نهج Azure، سيتم التحقق من التوافق فقط المفاتيح الجديدة والمفاتيح المحدثة والمفاتيح المستوردة والمفاتيح التي تم تدويرها. للقيام بذلك، يحتاج المستخدم الذي لديه دور "مسؤول HSM المدار" إلى HSM المدار إلى تشغيل أوامر Azure CLI التالية:

على النوافذ:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

انسخ المطبوعة id ، والصقها في الأمر التالي:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

على نظام Linux أو Windows الفرعي ل Linux:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

إنشاء تعيينات النهج - تحديد قواعد التدقيق و/أو الرفض

تحتوي تعيينات النهج على قيم محددة لمعلمات تعريفات النهج. في مدخل Microsoft Azure، انتقل إلى "Policy"، وتصفية الفئة "Key Vault"، وابحث عن تعريفات نهج الحوكمة الرئيسية الأربعة للمعاينة. حدد واحدا، ثم حدد الزر "تعيين" في الأعلى. املأ كل حقل. إذا كان تعيين النهج مخصصا لرفض الطلب، فاستخدم اسما واضحا حول النهج لأنه عند رفض الطلب، سيظهر اسم تعيين النهج في الخطأ. حدد التالي، وقم بإلغاء تحديد "إظهار المعلمات التي تحتاج إلى إدخال أو مراجعة فقط"، وأدخل قيم معلمات تعريف النهج. تخطي "المعالجة"، وإنشاء التعيين. ستحتاج الخدمة إلى ما يصل إلى 30 دقيقة لفرض تعيينات "الرفض".

  • يجب أن يكون لمفاتيح HSM المدارة في Azure Key Vault تاريخ انتهاء صلاحية
  • يجب أن يكون لمفاتيح HSM المدارة في Azure Key Vault باستخدام تشفير RSA الحد الأدنى المحدد لحجم المفتاح
  • يجب أن يكون لمفاتيح HSM المدارة في Azure Key Vault أكثر من عدد الأيام المحدد قبل انتهاء الصلاحية
  • يجب أن تحتوي مفاتيح HSM المدارة في Azure Key Vault باستخدام تشفير المنحنى الناقص على أسماء المنحنى المحددة

يمكنك أيضا القيام بهذه العملية باستخدام Azure CLI. راجع إنشاء تعيين نهج لتحديد الموارد غير المتوافقة مع Azure CLI.

اختبار الإعداد الخاص بك

حاول تحديث/إنشاء مفتاح ينتهك القاعدة، إذا كان لديك تعيين نهج مع تأثير "رفض"، فسيعيد 403 إلى طلبك. راجع نتيجة الفحص لمفاتيح المخزون لتعيينات نهج التدقيق. بعد 12 ساعة، تحقق من قائمة التوافق الخاصة بالنهج، وقم بالتصفية على فئة "Key Vault"، وابحث عن الواجبات الخاصة بك. حدد على كل منها، للتحقق من تقرير نتائج التوافق.

استكشاف الأخطاء وإصلاحها

إذا لم تكن هناك نتائج امتثال لتجمع بعد يوم واحد. تحقق مما إذا كان تعيين الدور قد تم في الخطوة 2 بنجاح. بدون الخطوة 2، لن تتمكن خدمة إدارة المفاتيح من الوصول إلى بيانات تعريف المفتاح. يمكن لأمر Azure CLI az keyvault role assignment list التحقق مما إذا كان قد تم تعيين الدور.

الخطوات التالية