Share via

Integrieren des verwalteten Azure-HSM in Azure Policy

  • Artikel

Azure Policy ist ein Governancetool, mit dem Benutzer ihre Azure-Umgebung bedarfsorientiert überwachen und verwalten können. Azure Policy bietet die Möglichkeit, Schutzmaßnahmen für Azure-Ressourcen zu ergreifen, um sicherzustellen, dass diese mit den zugewiesenen Richtlinien konform sind. Es ermöglicht es Benutzern, eine Überwachung, Echtzeiterzwingung und Wiederherstellung ihrer Azure-Umgebung auszuführen. Die Ergebnisse von Richtlinienüberwachungen werden den Benutzern in einem Konformitätsdashboard zur Verfügung gestellt. Dort wird detailliert angezeigt, welche Ressourcen und Komponenten konform sind und welche nicht. Weitere Informationen finden Sie unter Übersicht über den Azure Policy-Dienst.

Beispiele für Nutzungsszenarien:

  • Zurzeit haben Sie keine Lösung, um eine Überwachung in Ihrer Organisation durchzuführen, oder Sie führen manuelle Überwachungen Ihrer Umgebung durch, indem Sie die einzelnen Teams in Ihrer Organisation bitten, ihre Konformität zu melden. Sie suchen nach einer Möglichkeit, diese Aufgabe zu automatisieren, Überwachungen in Echtzeit durchzuführen und die Genauigkeit der Überwachung sicherzustellen.
  • Sie möchten die Sicherheitsrichtlinien Ihres Unternehmens durchsetzen und verhindern, dass Einzelpersonen bestimmte Kryptografieschlüssel erstellen, Ihnen steht hierzu jedoch keine automatisierte Methode zur Verfügung.
  • Sie möchten einige Anforderungen für Ihre Testteams lockern, aber Sie möchten auch eine strenge Kontrolle über Ihre Produktionsumgebung beibehalten. Sie benötigen eine einfache automatisierte Methode, um die Erzwingung Ihrer Ressourcen zu trennen.
  • Sie möchten sicher sein, dass Sie die Durchsetzung neuer Richtlinien rückgängig machen können, wenn es zu einem Problem im laufenden Betrieb kommt. Sie benötigen eine One-Click-Lösung, um die Erzwingung der Richtlinie zu deaktivieren.
  • Sie verlassen sich auf eine Lösung eines Drittanbieters für die Überwachung Ihrer Umgebung und möchten ein internes Microsoft-Angebot nutzen.

Arten von Richtlinienauswirkungen und Anleitung

Überwachen: Wenn die Auswirkung einer Richtlinie auf „Überwachen“ festgelegt ist, verursacht die Richtlinie keine Breaking Changes an Ihrer Umgebung. Sie erhalten lediglich Warnmeldungen zu Komponenten wie z. B. Schlüsseln, die innerhalb eines bestimmten Bereichs nicht mit den Richtliniendefinitionen übereinstimmen, indem Sie diese Komponenten im Dashboard zur Richtlinienkonformität als nicht konform markieren. Die Überwachung ist Standard, wenn keine Richtlinienauswirkung ausgewählt ist.

Verweigern: Wenn die Auswirkung einer Richtlinie auf „Verweigern“ festgelegt ist, verhindert die Richtlinie die Erstellung neuer Komponenten (beispielsweise schwächere Schlüssel) und blockiert neue Versionen vorhandener Schlüssel, die nicht mit der Definition der Richtlinie übereinstimmen. Vorhandene nicht konforme Ressourcen innerhalb eines verwalteten HSM sind nicht betroffen. Die Überwachungsfunktionen werden weiterhin ausgeführt.

Schlüssel mit Kryptografie für elliptische Kurve müssen die angegebenen Kurvennamen verwenden

Wenn Sie ECC-Schlüssel (Elliptic Curve Cryptography, Kryptografie für elliptische Kurve) verwenden, können Sie eine zulässige Liste mit Kurvennamen aus der folgenden Liste erstellen. Die Standardoption lässt alle folgenden Kurvennamen zu.

  • P-256
  • P-256K
  • P-384
  • P-521

Für Schlüssel müssen Ablaufdaten festgelegt sein

Diese Richtlinie überwacht alle Schlüssel in Ihren verwalteten HSMs und kennzeichnet Schlüssel, für die kein Ablaufdatum festgelegt wurde, als nicht konform. Sie können diese Richtlinie auch verwenden, um die Erstellung von Schlüsseln zu blockieren, für die kein Ablaufdatum festgelegt ist.

Für Schlüssel müssen mehr als die angegebene Anzahl von Tagen vor Ablauf vorliegen

Wenn sich ein Schlüssel zu nah an seinem Ablaufdatum befindet, kann es bei einer organisationsbedingten Verzögerung der Rotation des Schlüssels zu einem Ausfall kommen. Schlüssel sollten nach einer angegebenen Anzahl von Tagen vor ihrem Ablauf rotiert werden, damit genügend Zeit ist, um auf Fehler reagieren zu können. Diese Richtlinie überwacht Schlüssel, die in Kürze ablaufen, und ermöglicht es Ihnen, diesen Schwellenwert in Tagen festzulegen. Sie können mit dieser Richtlinie auch verhindern, dass neue Schlüssel zu kurz vor ihrem Ablaufdatum erstellt werden.

Schlüssel mit RSA-Kryptografie müssen eine angegebene Mindestgröße für Schlüssel aufweisen

Die Verwendung von kleineren RSA-Schlüsseln ist keine sichere Entwurfsmethode. Unter Umständen gelten für Sie bestimmte Überwachungs- und Zertifizierungsstandards, in denen die Verwendung einer Mindestgröße für Schlüssel vorgeschrieben ist. Mit der folgenden Richtlinie können Sie eine Mindestschlüsselgröße für Ihr verwaltetes HSM festlegen. Sie können Schlüssel überwachen, die diese Mindestanforderung nicht erfüllen. Diese Richtlinie kann auch verwendet werden, um die Erstellung neuer Schlüssel zu blockieren, die die Mindestanforderung in Bezug auf die Schlüsselgröße nicht erfüllen.

Aktivieren und Verwalten einer Richtlinie für verwaltete HSMs über die Azure CLI

Erteilen der Berechtigung für die tägliche Überprüfung

Um die Konformität der Bestandsschlüssel im Pool zu überprüfen, muss der Kunde dem „Azure Key Vault Managed HSM Key Governance Service“ (App-ID: a1b76039-a76c-499f-a2dd-846b4cc32627) die Rolle „Managed HSM Crypto Auditor“ zuweisen, damit dieser auf die Metadaten der Schlüssel zugreifen kann. Ohne Erteilung dieser Berechtigung werden Bestandsschlüssel nicht im Azure Policy-Konformitätsbericht aufgeführt. Nur neue Schlüssel, aktualisierte Schlüssel, importierte Schlüssel und rotierte Schlüssel werden auf Konformität geprüft. Dazu muss ein Benutzer mit der Rolle „Managed HSM Administrator“ für das verwaltete HSM die folgenden Azure CLI-Befehle ausführen:

Unter Windows:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

Kopieren Sie die ausgegebene id, und fügen Sie sie in den folgenden Befehl ein:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

Unter Linux oder für ein Windows-Subsystem von Linux:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Erstellen von Richtlinienzuweisungen – Definieren von Regeln zur Überwachung und/oder Verweigerung

Richtlinienzuweisungen umfassen konkrete Werte, die für die Parameter von Richtliniendefinitionen definiert sind. Navigieren Sie im Azure-Portal zu „Richtlinie“, filtern Sie nach der Kategorie „Schlüsseltresor“, und suchen Sie nach diesen vier Vorschaudefinitionen für die Schlüsselverwaltung. Wählen Sie eine der Definitionen aus, und klicken Sie oben auf „Zuweisen“. Füllen Sie jedes Feld aus. Wenn Sie eine Richtlinienzuweisung zur Verweigerung von Anforderungen verwenden, geben Sie einen eindeutigen Namen für die Richtlinie an, weil im Falle der Verweigerung einer Anforderung der Name der Richtlinienzuweisung in der Fehlermeldung angezeigt wird. Wählen Sie „Weiter“ aus, deaktivieren Sie die Option „Nur Parameter anzeigen, die eingegeben oder überprüft werden müssen“, und geben Sie Werte für die Parameter der Richtliniendefinition ein. Überspringen Sie Bereinigung, und erstellen Sie die Zuweisung. Der Dienst benötigt bis zu 30 Minuten, um Ablehnungszuweisungen zu erzwingen.

  • Von Azure Key Vault verwaltete HSM-Schlüssel müssen ein Ablaufdatum aufweisen
  • Von Azure Key Vault verwaltete HSM-Schlüsseln, die RSA-Kryptografie verwenden, sollten eine angegebene Mindestschlüsselgröße aufweisen
  • Von Azure Key Vault verwaltete HSM-Schlüssel sollten mehr als die angegebene Anzahl von Tagen vor dem Ablauf aufweisen
  • Von Azure Key Vault verwaltete HSM-Schlüssel, die Kryptografie für elliptische Kurve verwenden, müssen die angegebenen Kurvennamen haben

Sie können diesen Vorgang auch über die Azure CLI durchführen. Siehe Erstellen einer Richtlinienzuweisung zum Identifizieren nicht konformer Ressourcen mit der Azure CLI.

Testen des Setups

Versuchen Sie, einen Schlüssel zu aktualisieren/zu erstellen, der gegen die Regel verstößt. Wenn Sie eine Richtlinienzuweisung mit der Auswirkung „Verweigern“ verwenden, wird Ihre Anforderung mit einem 403-Fehler beantwortet. Überprüfen Sie das Überprüfungsergebnis von Überwachungsrichtlinienzuweisungen für Bestandsschlüssel. Überprüfen Sie nach 12 Stunden das Menü „Konformität“ der Richtlinie, filtern Sie nach der Kategorie „Schlüsseltresor“, und suchen Sie nach Ihren Zuweisungen. Wählen Sie jede Zuweisung aus, um den Konformitätsergebnisbericht zu überprüfen.

Problembehandlung

Wenn nach einem Tag keine Konformitätsergebnisse für einen Pool vorliegen, überprüfen Sie, ob die Rollenzuweisung in Schritt 2 erfolgreich ausgeführt wurde. Ohne Schritt 2 kann der Schlüsselverwaltungsdienst nicht auf die Metadaten des Schlüssels zugreifen. Sie können mit dem Azure CLI-Befehl az keyvault role assignment list überprüfen, ob die Rolle zugewiesen wurde.

Nächste Schritte