Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Policy ist ein Governancetool, mit dem Benutzer ihre Azure-Umgebung im großen Maßstab überwachen und verwalten können. Azure Policy ermöglicht es Ihnen, Kontrollmechanismen für Azure-Ressourcen zu implementieren, um deren Konformität mit den zugewiesenen Richtlinienregeln sicherzustellen. Sie ermöglicht es Benutzern, Prüfungen, Echtzeiterzwingungen und Korrekturmaßnahmen in ihrer Azure-Umgebung durchzuführen. Die Ergebnisse der von der Richtlinie durchgeführten Audits stehen Benutzern in einem Compliance-Dashboard zur Verfügung, in dem sie einen Drilldown ansehen können, welche Ressourcen und Komponenten konform sind. Weitere Informationen finden Sie in der Übersicht über den Azure-Richtliniendienst.
Beispielverwendungsszenarien:
- Sie haben derzeit keine Lösung, um eine Überwachung in Ihrer Gesamten Organisation durchzuführen, oder Sie führen manuelle Audits Ihrer Umgebung durch, indem Sie einzelne Teams in Ihrer Organisation auffordern, ihre Compliance zu melden. Sie suchen nach einer Möglichkeit, diese Aufgabe zu automatisieren, Audits in Echtzeit durchzuführen und die Genauigkeit der Überwachung zu garantieren.
- Sie möchten Ihre Unternehmenssicherheitsrichtlinien erzwingen und verhindern, dass Einzelpersonen bestimmte kryptografische Schlüssel erstellen, aber Sie haben keine automatisierte Möglichkeit, ihre Erstellung zu blockieren.
- Sie möchten einige Anforderungen für Ihre Testteams entspannen, aber Sie möchten enge Kontrollen über Ihre Produktionsumgebung beibehalten. Sie benötigen eine einfache automatisierte Methode, um die Erzwingung Ihrer Ressourcen zu trennen.
- Sie möchten sicherstellen, dass Sie die Durchsetzung neuer Richtlinien rückgängig machen können, falls ein Problem auf der Live-Site auftritt. Sie benötigen eine Einklicklösung, um die Erzwingung der Richtlinie zu deaktivieren.
- Sie verlassen sich auf eine Drittanbieterlösung für die Überwachung Ihrer Umgebung und möchten ein internes Microsoft-Angebot verwenden.
Arten von Richtlinieneffekten und Leitlinien
Überwachen: Wenn die Auswirkung einer Richtlinie auf „Überwachen“ festgelegt ist, verursacht die Richtlinie keine Breaking Changes an Ihrer Umgebung. Sie werden nur bei Komponenten wie Schlüsseln benachrichtigt, die nicht den Richtliniendefinitionen innerhalb eines bestimmten Bereichs entsprechen, indem diese Komponenten im Richtliniencompliance-Dashboard als nicht konform markiert werden. Die Überwachung ist standard, wenn kein Richtlinieneffekt ausgewählt ist.
Verweigern: Wenn die Auswirkung einer Richtlinie auf "Verweigern" festgelegt ist, blockiert die Richtlinie die Erstellung neuer Komponenten (z. B. schwächerer Schlüssel) und blockiert neue Versionen vorhandener Schlüssel, die nicht der Richtliniendefinition entsprechen. Vorhandene nicht kompatible Ressourcen innerhalb eines verwalteten HSM sind nicht betroffen, und die "Überwachungsfunktionen" funktionieren weiterhin.
Schlüssel, die elliptische Kurvenkryptografie verwenden, sollten die angegebenen Kurvennamen aufweisen.
Wenn Sie elliptische Kurvenkryptografie oder ECC-Schlüssel verwenden, können Sie eine liste zulässiger Kurvennamen aus dieser Liste anpassen. Die Standardoption ermöglicht alle folgenden Kurvennamen.
- P-256
- P-256K
- P-384
- P-521
Schlüssel sollten Ablaufdatumsangaben festgelegt haben
Diese Richtlinie überprüft alle Schlüssel in Ihren verwalteten HSMs und kennzeichnet Schlüssel, die kein Ablaufdatum als nicht konform festgelegt haben. Sie können diese Richtlinie auch verwenden, um die Erstellung von Schlüsseln zu blockieren, für die kein Ablaufdatum festgelegt ist.
Schlüssel sollten mehr als die angegebene Anzahl von Tagen vor dem Ablaufdatum liegen.
Wenn sich ein Schlüssel zu kurz vor seinem Ablaufdatum befindet, kann es bei einer organisationsbedingten Verzögerung der Rotation des Schlüssels zu einem Ausfall kommen. Schlüssel sollten nach einer angegebenen Anzahl von Tagen vor ihrem Ablauf rotiert werden, damit genügend Zeit ist, um auf Fehler reagieren zu können. Diese Richtlinie prüft Schlüssel, deren Ablaufdatum nahe bevorsteht, und ermöglicht es Ihnen, diese Schwelle in Tagen festzulegen. Sie können diese Richtlinie auch verwenden, um zu verhindern, dass neue Schlüssel zu nah am Ablaufdatum erstellt werden.
Schlüssel, die RSA-Kryptografie verwenden, sollten eine bestimmte Mindestschlüsselgröße aufweisen.
Die Verwendung von RSA-Schlüsseln mit kleineren Schlüsselgrößen ist keine sichere Entwurfspraxis. Möglicherweise unterliegen Sie Audit- und Zertifizierungsstandards, die die Verwendung einer Mindestgröße von Schlüsseln verlangen. Mit der folgenden Richtlinie können Sie eine Mindestanforderung für die Schlüssellänge in Ihrem verwalteten HSM festlegen. Sie können Schlüssel überwachen, die diese Mindestanforderung nicht erfüllen. Diese Richtlinie kann auch verwendet werden, um die Erstellung neuer Schlüssel zu blockieren, die die Mindestanforderung für die Schlüsselgröße nicht erfüllen.
Aktivieren und Verwalten einer verwalteten HSM-Richtlinie über die Azure CLI
Die Berechtigung zum täglichen Scannen erteilen
Um die Compliance der Bestandsschlüssel des Pools zu überprüfen, muss der Kunde die Rolle "Managed HSM Crypto Auditor" an „Azure Key Vault Managed HSM Key Governance Service“, (App ID: a1b76039-a76c-499f-a2dd-846b4cc32627) zuweisen, damit es auf die Metadaten des Schlüssels zugreifen kann. Ohne die Erteilung der Berechtigung werden Bestandsschlüssel nicht im Azure Policy Compliance-Bericht gemeldet, nur neue Schlüssel, aktualisierte Schlüssel, importierte Schlüssel und gedrehte Schlüssel werden auf Compliance überprüft. Dazu muss ein Benutzer, der die Rolle "Verwalteter HSM-Administrator" für verwaltetes HSM hat, die folgenden Azure CLI-Befehle ausführen:
Unter Windows
az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id
Kopieren Sie den id gedruckten Text und fügen Sie ihn in den folgenden Befehl ein.
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>
Unter Linux oder dem Windows-Subsystem für Linux:
spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>
Erstellen von Richtlinienzuweisungen – Definieren von Regeln der Überwachung und/oder Ablehnung
Richtlinienzuweisungen weisen konkrete Werte auf, die für die Parameter von Richtliniendefinitionen definiert sind. Navigieren Sie im Azure-Portal zu „Richtlinie“, filtern Sie nach der Kategorie „Schlüsseltresor“, und suchen Sie nach diesen vier Vorschaudefinitionen für die Schlüsselverwaltung. Wählen Sie eins aus, und wählen Sie dann oben die Schaltfläche "Zuweisen" aus. Füllen Sie jedes Feld aus. Wenn Sie eine Richtlinienzuweisung zur Verweigerung von Anforderungen verwenden, geben Sie einen eindeutigen Namen für die Richtlinie an, weil im Falle der Verweigerung einer Anforderung der Name der Richtlinienzuweisung in der Fehlermeldung angezeigt wird. Wählen Sie "Weiter" aus, deaktivieren Sie "Nur Parameter anzeigen, die Eingabe oder Überprüfung benötigen", und geben Sie Werte für Parameter der Richtliniendefinition ein. Überspringen Sie die "Korrektur", und erstellen Sie die Aufgabe. Der Dienst benötigt bis zu 30 Minuten, um Ablehnungszuweisungen zu erzwingen.
- Azure Key Vault Managed HSM-Schlüssel sollten ein Ablaufdatum aufweisen
- Verwaltete HSM-Schlüssel mit Azure Key Vault mit RSA-Kryptografie sollten über eine bestimmte Mindestschlüsselgröße verfügen.
- Verwaltete HSM-Schlüssel von Azure Key Vault sollten mehr als die angegebene Anzahl von Tagen vor Ablauf aufweisen.
- Azure Key Vault Managed HSM-Schlüssel mit elliptischer Kurvenkryptografie sollten die angegebenen Kurvennamen aufweisen
Sie können diesen Vorgang auch mithilfe der Azure CLI ausführen. Siehe Erstellen einer Richtlinienzuweisung, um nicht kompatible Ressourcen mit Azure CLI zu identifizieren.
Testen des Setups
Versuchen Sie, einen Schlüssel zu aktualisieren/zu erstellen, der gegen die Regel verstößt. Wenn Sie eine Richtlinienzuweisung mit der Auswirkung „Verweigern“ verwenden, wird Ihre Anforderung mit einem 403-Fehler beantwortet. Überprüfen Sie das Überprüfungsergebnis von Überwachungsrichtlinienzuweisungen für Bestandsschlüssel. Überprüfen Sie nach 12 Stunden das Menü „Konformität“ der Richtlinie, filtern Sie nach der Kategorie „Schlüsseltresor“, und suchen Sie nach Ihren Zuweisungen. Wählen Sie jede Zuweisung aus, um den Konformitätsergebnisbericht zu überprüfen.
Problembehandlung
Wenn nach einem Tag keine Complianceergebnisse eines Pools vorliegen, überprüfen Sie, ob die Rollenzuweisung in Schritt 2 erfolgreich war. Ohne Schritt 2 kann der Schlüsselgovernancedienst nicht auf die Metadaten des Schlüssels zugreifen. Der Azure CLI-Befehl az keyvault role assignment list kann überprüfen, ob die Rolle zugewiesen ist. Überprüfen Sie auch, auf welcher Ebene die Richtlinie zugewiesen wurde.
Nächste Schritte
- Protokollierung und häufig gestellte Fragen zu Azure Policy für Key Vault
- Weitere Informationen zum Azure-Richtliniendienst
- Key Vault-Beispiele: Integrierte Azure Policy-Richtliniendefinitionen: Key Vault
- Erfahren Sie mehr über den Microsoft Cloud Security-Benchmark im Key Vault