Sdílet prostřednictvím

Integrace spravovaného HSM Azure se službou Azure Policy

  • Článek

Azure Policy je nástroj zásad správného řízení, který uživatelům umožňuje auditovat a spravovat své prostředí Azure ve velkém měřítku. Azure Policy poskytuje možnost umístit mantinely do prostředků Azure, aby se zajistilo, že vyhovují přiřazeným pravidlům zásad. Umožňuje uživatelům provádět auditování, vynucování v reálném čase a opravovat jejich prostředí Azure. Výsledky auditů provedených zásadami budou uživatelům k dispozici na řídicím panelu dodržování předpisů, kde uvidí podrobnosti o tom, které prostředky a komponenty jsou kompatibilní a které nejsou. Další informace najdete v Přehledu služby Azure Policy.

Příkladů scénářů použití:

  • Momentálně nemáte řešení pro provádění auditu v rámci vaší organizace nebo provádíte ruční audity vašeho prostředí tak, že požádáte jednotlivé týmy ve vaší organizaci o nahlášení dodržování předpisů. Hledáte způsob, jak tento úkol automatizovat, provádět audity v reálném čase a zaručit přesnost auditu.
  • Chcete vynutit zásady zabezpečení vaší společnosti a zabránit jednotlivcům v vytváření určitých kryptografických klíčů, ale nemáte automatizovaný způsob, jak zablokovat jejich vytváření.
  • Chcete uvolnit některé požadavky pro testovací týmy, ale chcete zachovat úzkou kontrolu nad provozním prostředím. Potřebujete jednoduchý automatizovaný způsob oddělení vynucování prostředků.
  • Chcete mít jistotu, že pokud dojde k problému s živým webem, můžete vynucování nových zásad vrátit zpět. K vypnutí vynucování zásad potřebujete řešení jedním kliknutím.
  • Spoléháte se na řešení třetí strany pro auditování vašeho prostředí a chcete použít interní nabídku Microsoftu.

Typy účinků a pokynů k zásadám

Audit: Pokud je účinek zásady nastaven na audit, zásady nezpůsobí žádné zásadní změny ve vašem prostředí. Upozorní vás pouze na komponenty, jako jsou klíče, které nevyhovují definicím zásad v rámci zadaného oboru, tím, že tyto komponenty označí jako nevyhovující předpisům na řídicím panelu dodržování zásad. Audit je výchozí, pokud není vybrán žádný efekt zásady.

Odepřít: Pokud je účinek zásady nastaven na odepření, zásada zablokuje vytváření nových komponent, jako jsou slabší klíče, a zablokuje nové verze existujících klíčů, které nevyhovují definici zásady. Stávající nekompatibilní prostředky v rámci spravovaného HSM nejsou ovlivněné. Možnosti auditu budou i nadále fungovat.

Klíče používající ECC (elliptic curve cryptography) by měly mít zadané názvy křivek

Pokud používáte kryptografii se třemi tečkami nebo klíče ECC, můžete přizpůsobit seznam povolených názvů křivek z následujícího seznamu. Výchozí možnost umožňuje všechny následující názvy křivek.

  • P-256
  • P-256K
  • P-384
  • P-521

Klíče by měly mít nastavená data vypršení platnosti.

Tato zásada audituje všechny klíče ve spravovaných modulech HSM a klíče příznaků, které nemají nastavené datum vypršení platnosti jako nevyhovující předpisům. Tuto zásadu můžete použít také k blokování vytváření klíčů, které nemají nastavené datum vypršení platnosti.

Klíče by měly mít více než stanovený počet dní před vypršením platnosti

Pokud je klíč příliš blízko vypršení platnosti, může dojít k výpadku organizační prodlevy, která klíč otočí. Klíče by se měly obměňovat po zadaném počtu dnů před vypršením platnosti, aby se zajistilo dostatek času na reakci na selhání. Tato zásada bude auditovat klíče příliš blízko k datu vypršení platnosti a umožní vám nastavit tuto prahovou hodnotu ve dnech. Tuto zásadu můžete použít také k tomu, abyste zabránili vytvoření nových klíčů příliš blízko k datu vypršení platnosti.

Klíče používající kryptografii RSA by měly mít stanovenou minimální velikost klíče

Použití klíčů RSA s menšími velikostmi klíčů není bezpečným postupem návrhu. Může se jednat o audit a certifikační standardy, které vyžadují použití minimální velikosti klíče. Následující zásady umožňují nastavit minimální požadavek na velikost klíče ve spravovaném HSM. Můžete auditovat klíče, které nesplňují tento minimální požadavek. Tuto zásadu lze použít také k blokování vytváření nových klíčů, které nesplňují požadavek na minimální velikost klíče.

Povolení a správa zásad spravovaného HSM prostřednictvím Azure CLI

Udělení oprávnění ke kontrole denně

Pokud chcete zkontrolovat dodržování předpisů klíčů inventáře fondu, musí zákazník přiřadit roli "Managed HSM Crypto Auditor" službě Azure Key Vault Managed HSM Key Governance Service(ID aplikace: a1b76039-a76c-499f-a2dd-846b4cc32627), aby měl přístup k metadatům klíče. Bez udělení oprávnění se klíče inventáře nebudou hlásit v sestavě dodržování předpisů ve službě Azure Policy, kontrolují se pouze nové klíče, aktualizované klíče, importované klíče a obměněné klíče. Aby to udělal uživatel, který má roli Správce spravovaného HSM ke spravovanému HSM, musí spustit následující příkazy Azure CLI:

V oknech:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

id Zkopírujte vytištěný text a vložte ho do následujícího příkazu:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

V Linuxu nebo subsystému Windows Linuxu:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Vytváření přiřazení zásad – definování pravidel auditu nebo zamítnutí

Přiřazení zásad mají konkrétní hodnoty definované pro parametry definic zásad. Na webu Azure Portal přejděte na Zásady, vyfiltrujte kategorii Key Vault a vyhledejte tyto čtyři definice zásad správného řízení ve verzi Preview. Vyberte ho a pak nahoře vyberte tlačítko Přiřadit. Vyplňte jednotlivá pole. Pokud je přiřazení zásady pro odepření požadavků, použijte pro zásadu jasný název, protože při odepření požadavku se název přiřazení zásady zobrazí v chybě. Vyberte Další, zrušte zaškrtnutí políčka Zobrazit pouze parametry, které potřebují zadat nebo zkontrolovat, a zadejte hodnoty pro parametry definice zásady. Přeskočte "Nápravu" a vytvořte přiřazení. Služba bude potřebovat až 30 minut k vynucení přiřazení zamítnutí.

  • Klíče spravovaného HSM služby Azure Key Vault by měly mít datum vypršení platnosti.
  • Spravované klíče HSM služby Azure Key Vault využívající kryptografii RSA by měly mít zadanou minimální velikost klíče.
  • Spravované klíče HSM služby Azure Key Vault by měly mít více než zadaný počet dní před vypršením platnosti.
  • Spravované klíče HSM ve službě Azure Key Vault používající kryptografii se třemi tečkami by měly mít zadané názvy křivek.

Tuto operaci můžete provést také pomocí Azure CLI. Viz Vytvoření přiřazení zásad k identifikaci nevyhovujících prostředků pomocí Azure CLI.

Otestování nastavení

Pokuste se aktualizovat nebo vytvořit klíč, který porušuje pravidlo, pokud máte přiřazení zásady s účinkem "Odepřít", vrátí požadavek hodnotu 403. Zkontrolujte výsledek kontroly klíčů inventáře přiřazení zásad auditování. Po 12 hodinách zkontrolujte nabídku Dodržování předpisů zásad, vyfiltrujte kategorii Key Vault a vyhledejte svá přiřazení. Vyberte každou z nich a zkontrolujte sestavu výsledků dodržování předpisů.

Řešení problému

Pokud fond po jednom dni neobsahuje žádné výsledky dodržování předpisů. Zkontrolujte, jestli přiřazení role proběhlo úspěšně v kroku 2. Bez kroku 2 nebude mít služba zásad správného řízení přístup k metadatům klíče. Příkaz Azure CLI az keyvault role assignment list může ověřit, jestli byla role přiřazena.

Další kroky