Řízení přístupu pro spravovaný HSM
Spravovaný HSM služby Azure Key Vault je cloudová služba, která chrání šifrovací klíče. Vzhledem k tomu, že tato data jsou citlivá a důležitá pro vaši firmu, potřebujete zabezpečit spravované moduly hardwarového zabezpečení (HSM) tím, že povolíte přístup k datům jenom autorizovaným aplikacím a uživatelům.
Tento článek obsahuje přehled modelu řízení přístupu spravovaného HSM. Vysvětluje ověřování a autorizaci a popisuje, jak zabezpečit přístup ke spravovaným HSM.
Poznámka:
Poskytovatel prostředků azure Key Vault podporuje dva typy prostředků: trezory a spravované HSM. Řízení přístupu popsané v tomto článku se vztahuje pouze na spravované moduly HSM. Další informace o řízení přístupu pro spravované HSM najdete v tématu Poskytnutí přístupu ke klíčům, certifikátům a tajným kódům služby Key Vault pomocí řízení přístupu na základě role v Azure.
Model řízení přístupu
Přístup ke spravovanému HSM se řídí dvěma rozhraními:
- Rovina správy
- Rovina dat
V rovině správy spravujete samotný HSM. Operace v této rovině zahrnují vytváření a odstraňování spravovaných HSM a načítání spravovaných vlastností HSM.
V rovině dat pracujete s daty uloženými ve spravovaném HSM. To znamená, že pracujete s šifrovacími klíči založenými na HSM. Můžete přidávat, odstraňovat, upravovat a používat klíče k provádění kryptografických operací, spravovat přiřazení rolí k řízení přístupu ke klíčům, vytvářet úplné zálohování HSM, obnovovat úplné zálohování a spravovat doménu zabezpečení z rozhraní roviny dat.
Pokud chcete získat přístup ke spravovanému HSM v obou rovinách, musí mít všichni volající správné ověřování a autorizaci. Ověřování vytvoří identitu volajícího. Autorizace určuje, které operace může volající provést. Volající může být libovolný z objektů zabezpečení definovaných v Microsoft Entra ID: uživatel, skupina, instanční objekt nebo spravovaná identita.
Obě roviny používají k ověřování ID Microsoft Entra. K autorizaci používají různé systémy:
- Rovina správy používá řízení přístupu na základě role v Azure (Azure RBAC), autorizační systém založený na Azure Resource Manageru.
- Rovina dat používá spravovaný RBAC na úrovni HSM (místní RBAC spravovaného HSM), autorizační systém, který se implementuje a vynucuje na úrovni spravovaného HSM.
Když se vytvoří spravovaný HSM, žadatel poskytne seznam správců roviny dat (podporují se všechny objekty zabezpečení). Ke spravované rovině dat HSM mají přístup pouze tito správci, aby mohli provádět klíčové operace a spravovat přiřazení rolí roviny dat (místní řízení přístupu na základě role spravovaného HSM).
Modely oprávnění pro obě roviny používají stejnou syntaxi, ale vynucují se na různých úrovních a přiřazení rolí používají různé obory. Azure Resource Manager vynucuje rovinu správy Azure RBAC a místní řízení přístupu na základě role spravovaného HSM vynucuje samotný spravovaný HSM.
Důležité
Udělení přístupu k rovině správy objektu zabezpečení neuděluje přístup k rovině dat objektu zabezpečení. Například objekt zabezpečení s přístupem k rovině správy nemá automaticky přístup k klíčům nebo přiřazením rolí roviny dat. Tato izolace je záměrně, aby se zabránilo neúmyslné rozšíření oprávnění, která ovlivňují přístup ke klíčům uloženým ve spravovaném HSM.
Existuje však výjimka: Členové role globálního správce Microsoft Entra mohou vždy přidávat uživatele do role Správce spravovaného HSM pro účely obnovení, například pokud již neexistují platné účty správce spravovaného HSM. Další informace najdete v osvědčených postupech microsoft Entra ID pro zabezpečení role globálního správce.
Správce předplatného (protože má oprávnění přispěvatele ke všem prostředkům v předplatném) může například odstranit spravovaný HSM ve svém předplatném. Pokud ale nemají přístup roviny dat udělený speciálně prostřednictvím místního řízení přístupu na základě role spravovaného HSM, nemůžou získat přístup ke klíčům ani spravovat přiřazení rolí ve spravovaném HSM, aby se k rovině dat udělili sami sobě nebo jiným uživatelům.
Ověřování Microsoft Entra
Když vytvoříte spravovaný HSM v předplatném Azure, spravovaný HSM se automaticky přidružuje k tenantovi Microsoft Entra předplatného. Všichni volající v obou rovinách musí být v tomto tenantovi zaregistrovaní a ověřit přístup ke spravovanému HSM.
Aplikace se před voláním jedné roviny ověří pomocí ID Microsoft Entra. Aplikace může v závislosti na typu aplikace používat jakoukoli podporovanou metodu ověřování. Aplikace získá token pro prostředek v rovině, aby získala přístup. Prostředek je koncový bod v rovině správy nebo rovině dat v závislosti na prostředí Azure. Aplikace použije token a odešle požadavek rozhraní REST API do spravovaného koncového bodu HSM. Další informace najdete v celém toku ověřování.
Použití jednoho ověřovacího mechanismu pro obě roviny má několik výhod:
- Organizace můžou centrálně řídit přístup ke všem spravovaným HSM ve své organizaci.
- Pokud uživatel opustí organizaci, okamžitě ztratí přístup ke všem spravovaným modulům HSM v organizaci.
- Organizace můžou ověřování přizpůsobit pomocí možností v Microsoft Entra ID, jako je povolení vícefaktorového ověřování pro zvýšení zabezpečení.
Koncové body prostředků
Objekty zabezpečení přistupují k rovině prostřednictvím koncových bodů. Řízení přístupu pro obě roviny funguje nezávisle. Pokud chcete aplikaci udělit přístup k používání klíčů ve spravovaném HSM, udělíte přístup k rovině dat pomocí místního řízení přístupu na základě role spravovaného HSM. Pokud chcete uživateli udělit přístup ke spravovanému prostředku HSM za účelem vytvoření, čtení, odstranění, přesunutí spravovaných hsM a úprav dalších vlastností a značek, použijete Azure RBAC.
Následující tabulka ukazuje koncové body pro rovinu správy a rovinu dat.
| Rovina přístupu | Koncové body přístupu | Operace | Mechanismus řízení přístupu |
|---|---|---|---|
| Rovina správy | Globální:management.azure.com:443 |
Vytváření, čtení, aktualizace, odstranění a přesun spravovaných hsM Nastavení spravovaných značek HSM |
Azure RBAC |
| Rovina dat | Globální:<hsm-name>.managedhsm.azure.net:443 |
Klíče: Dešifrování, šifrování, unwrap, wrap, verify, sign, get, list, update, create, import, delete, back up, restore, purge Správa role roviny dat (místní řízení přístupu na základě role spravovaného HSM): Výpis definic rolí, přiřazení rolí, odstranění přiřazení rolí, definování vlastních rolí Zálohování a obnovení: Zálohování, obnovení, kontrola stavu operací zálohování a obnovení Doména zabezpečení: Stažení a nahrání domény zabezpečení |
Místní řízení přístupu na základě role spravovaného HSM |
Rovina správy a Azure RBAC
V rovině správy použijete Azure RBAC k autorizaci operací, které může volající provést. V modelu Azure RBAC má každé předplatné Azure instanci ID Microsoft Entra. Z tohoto adresáře udělíte přístup uživatelům, skupinám a aplikacím. Přístup je udělen ke správě prostředků předplatného, které používají model nasazení Azure Resource Manager. Pokud chcete udělit přístup, použijte Azure Portal, Azure CLI, Azure PowerShell nebo rozhraní REST API Azure Resource Manageru.
Trezor klíčů vytvoříte ve skupině prostředků a budete spravovat přístup pomocí ID Microsoft Entra. Uživatelům nebo skupinám udělíte možnost spravovat trezory klíčů ve skupině prostředků. Přístup udělíte na konkrétní úrovni oboru přiřazením odpovídajících rolí Azure. Pokud chcete uživateli udělit přístup ke správě trezorů klíčů, přiřadíte uživateli předdefinovanou key vault Contributor roli v určitém oboru. K roli Azure je možné přiřadit následující úrovně oboru:
- Skupina pro správu: Role Azure přiřazená na úrovni předplatného se vztahuje na všechna předplatná v této skupině pro správu.
- Předplatné: Role Azure přiřazená na úrovni předplatného se vztahuje na všechny skupiny prostředků a prostředky v rámci daného předplatného.
- Skupina prostředků: Role Azure přiřazená na úrovni skupiny prostředků se vztahuje na všechny prostředky v této skupině prostředků.
- Konkrétní prostředek: Role Azure přiřazená pro konkrétní prostředek se na tento prostředek vztahuje. V tomto případě je prostředek konkrétním trezorem klíčů.
Předdefinuje se několik rolí. Pokud předdefinovaná role nevyhovuje vašim potřebám, můžete definovat vlastní roli. Další informace najdete v tématu Azure RBAC: Předdefinované role.
Rovina dat a místní řízení přístupu na základě role spravovaného HSM
Přiřazováním role udělíte objektu zabezpečení přístup ke spouštění konkrétních operací s klíči. Pro každé přiřazení role musíte zadat roli a obor, pro který se toto přiřazení vztahuje. Pro místní řízení přístupu na základě role spravovaného HSM jsou k dispozici dva obory:
/nebo/keys: Rozsah na úrovni HSM. Objekty zabezpečení přiřazené roli v tomto oboru mohou provádět operace definované v roli pro všechny objekty (klíče) ve spravovaném HSM./keys/<key-name>: Rozsah na úrovni klíče. Objekty zabezpečení přiřazené roli v tomto oboru mohou provádět operace definované v této roli pouze pro všechny verze zadaného klíče.
Další kroky
- Úvodní kurz pro správce najdete v tématu Co je managed HSM?.
- Kurz správy rolí najdete v tématu Řízení přístupu na základě role v místním řízení přístupu na základě role spravovaného HSM.
- Další informace o protokolování využití spravovaného HSM najdete v tématu Protokolování spravovaného HSM.