Schlüsselverwaltung von Zertifikatverwaltung in Microsoft Cloud for Sovereignty
Kryptografische Authentifizierung und Verschlüsselung sind wirksame Strategien, um die Anforderungen an Vertraulichkeit, Datenschutz und Datensouveränität zu erfüllen. Die Wirksamkeit dieser Lösungen hängt jedoch von der Sicherheit und Belastbarkeit der zugrunde liegenden kryptografischen Technologien und Betriebsabläufe ab. In diesem Artikel werden Konzepte vorgestellt, mit denen Sie vertraut sein sollten, wenn Sie die Verwendung von Verschlüsselungsschlüsseln und digitalen Zertifikaten zum Sichern der in die Cloud migrierten Workloads planen.
Schlüsselverwaltung
Kryptografische Materialien werden in Azure mithilfe von Azure Key Vault gespeichert und verwaltet. Dieses ist sowohl im mehrinstanzenfähigen und einzelinstanzenfähigen Bereitstellungsmodus verfügbar. Azure Key Vault (AKV) bietet cloudnative Schlüssel-, Geheimnis- und Zertifikatsverwaltung in einem mehrinstanzenfähigen Dienst, der durch FIPS 140-validierte Hardware-Sicherheitsmodule unterstützt wird. Azure Key Vault Managed HSM ist ein Einzelinstanzendienst, der Ihnen vollständige administrative Kontrolle über die Sicherheitsdomäne und die zugehörigen Verschlüsselungsschlüssel Ihres Unternehmens bietet.
Empfehlungen für ein effektives Schlüsselmanagement
Plattformkontrollen sind zwar unerlässlich, aber nicht der einzige Aspekt einer effektiven Schlüsselverwaltung. Microsoft stellt außerdem mehrere Best Practices für eine effektive Schlüsselverwaltung vor.
Zugriffssteuerungen
Wenn Sie die Standard- oder Premium-SKUs von Azure Key Vault verwenden, empfehlen wir, einen Tresor pro Anwendung, Umgebung und Region bereitzustellen, um das Prinzip der geringsten Rechte durchzusetzen. Wenn Sie verwaltetes HSM verwenden, ist aus Kostengründen möglicherweise die Bereitstellung einer kleineren Anzahl zentralisierter Tresore vorzuziehen. Unabhängig von der von Ihnen bereitgestellten SKU müssen Sie den Tresorzugriff mithilfe der rollenbasierten Zugriffskontrolle (RBAC) streng regeln und sicherstellen, dass die Zugriffsrichtlinien innerhalb jedes Tresors dem Prinzip der geringsten Rechte entsprechen. Wir empfehlen, mithilfe vordefinierter Azure RBAC-Rollen Benutzern, Gruppen und Anwendungen Zugriff auf einen bestimmten Bereich zu gewähren, z. B. ein Abonnement, eine Ressourcengruppe oder nur einen bestimmten Schlüsseltresor. Die Zugriffskontrolle ist auf der Verwaltungs- und Datenebene von entscheidender Bedeutung und wird empfohlen.
Sicherungs- und Wiederherstellung
Sie benötigen regelmäßige Backups auf HSM-Ebene und für bestimmte Schlüssel. Wir empfehlen Ihnen, die Schutzfunktionen Soft-Delete zu konfigurieren und zu löschen, um versehentliches und böswilliges Löschen zu verhindern. Azure Monitor, das vollständig in verwaltetes HSM integriert ist, wird für die Überwachung und Protokollierung des Zugriffs auf Schlüsseltresore empfohlen. Weitere Informationen finden Sie unter: Best Practices für Azure Managed HSM.
Schlüsseldrehung
Stellen Sie sicher, dass regelmäßige Rotationen der vom Kunden verwalteten Schlüssel (Customer Managed Keys, CMKs) durchgeführt werden, wobei die Häufigkeit durch die Richtlinien Ihrer Organisation festgelegt wird. Schlüssel sollten auch rotiert werden, wenn ein Administrator mit Schlüsselzugriff die Rolle verlässt oder ändert oder wenn ein CMK kompromittiert wird. Autorotation wird durch Azure Key Vault und Azure Managed HSM unterstützt. Stellen Sie nach Möglichkeit sicher, dass der Rotationsprozess automatisiert, ohne menschliche Eingriffe ausgeführt und getestet wird, um die Wirksamkeit sicherzustellen. In Notfällen wie einem kompromittierten Schlüssel benötigen Sie ein robustes System, um Geheimnisse sofort wiederherzustellen. Wenn eine Automatisierung dieses Prozesses nicht möglich ist, empfehlen wir die Einrichtung von Warnungen, um Zertifikatsabläufe und -ausfälle zu verhindern.
Anmerkung
Während rotierende CMKs für vertrauliche VMs unterstützt werden, wird der Automatisierungsprozess noch nicht unterstützt. Sie finden mehr Empfehlungen hier.
Ausführliche Empfehlungen zu HSM
Einige Kunden möchten ihre Schlüssel von den Daten getrennt halten, indem sie die Schlüssel in einem externen HSM speichern, entweder in einer Drittanbieter-Cloud oder lokal. Obwohl dieser Schritt wie ein natürlicher Übergang von der Verwaltung lokaler Umgebungen erscheinen mag, kann ein externes HSM neue Risiken auf der Identitäts-, Netzwerk- und Software-Ebene mit sich bringen. Ein externes HSM kann auch die Leistungsrisiken erhöhen und Probleme wie latenzverursachende Netzwerkprobleme, SLA-Probleme aufgrund von Problemen mit dem HSM des Drittanbieters sowie Wartungs- und Schulungskosten mit sich bringen. Darüber hinaus verfügen HSMs von Drittanbietern möglicherweise nicht über wichtige Funktionen wie Soft-Delete- und Bereinigungsschutz.
Weitere Informationen zu den in der Sovereign Landing Zone (SLZ) integrierten technischen Kontrollen zur Durchsetzung angemessener wichtiger Managementpraktiken finden Sie unter Richtlinienportfolio.
Zertifikatverwaltung
Digitale Sicherheitszertifikate werden häufig verwendet, um die Kommunikation für Cloud-Anwendungen zu sichern. Der mit Zertifikatsverwaltungsaktivitäten, einschließlich der Ausstellung, Rotation und Sperrung von Zertifikaten, verbundene Aufwand kann schnell ansteigen, wenn immer mehr Workloads in die Cloud migriert werden. Kunden, die planen, ihre Workloads in die Microsoft Cloud for Sovereignty zu migrieren, sollten ihre Szenarien für digitale Sicherheitszertifikate verstehen, damit sie im Rahmen ihrer Cloud-Migration Zertifikatsverwaltungspläne entwickeln können.
Gängige Szenarien für digitale Zertifikate
In diesem Abschnitt werden gängige Cloud-Szenarien beschrieben, in denen digitale Zertifikate zur Sicherung der Kommunikation verwendet werden.
Website-Authentifizierung und -Verschlüsselung
Websites verwenden TLS-Zertifikate, um ihre Identität gegenüber Besuchern zu bestätigen und die Kommunikation zu verschlüsseln. Öffentliche Websites verwenden normalerweise Zertifikate von öffentlichen Zertifizierungsstellen (CA). Organisationen verwenden für Websites, die nicht öffentlich zugänglich sind, jedoch häufig Zertifikate von privaten CAs. In beiden Fällen müssen Zertifikate für Websites erneuert werden, wenn sie ablaufen oder wenn die Integrität des Zertifikats fraglich ist. Für Organisationen mit einer großen Webpräsenz kann die Verwaltung dieser Zertifikate einen erheblichen Planungs- und Arbeitsaufwand erfordern.
Dienstauthentifizierung
Verteilte Anwendungen und Microservices verwenden häufig ein zustandsloses Sitzungsmodell, das Flexibilität bei der Verarbeitung von Anwendungsanforderungen ermöglicht, aber möglicherweise auch zusätzliche Authentifizierung und Verschlüsselung erfordert, um Sicherheitsrisiken zu mindern. Zertifikate werden häufig zur gegenseitigen Authentifizierung zwischen Anwendungsebenen und Komponenten verwendet. Diese Komponenten werden häufig von dezentralen Anwendungsentwicklungsteams verwaltet, was die unternehmensweite Nachverfolgung und Überwachung der Verwaltung digitaler Zertifikate erschwert.
Infrastrukturauthentifizierung
Server und Netzwerkgeräte verwenden häufig Client-Zertifikate zur Authentifizierung im Unternehmensnetzwerk und bei Wartungsaktivitäten. Organisationen, die Lösungen wie Active Directory oder Kerberos verwenden, müssen normalerweise Client-Zertifikate für ihre bereitgestellte Infrastruktur verwalten.
Andere Zertifikatszenarien
Endpunkt-Verwaltungslösungen verwenden häufig Gerätezertifikate, um Endbenutzergeräte wie PCs, Laptops und Mobilgeräte zu authentifizieren. Code-Signatur-Zertifikate werden in Entwicklungsumgebungen verwendet, um den Herausgeber von Software als Teil des Anwendungssicherheitsansatzes eines Unternehmens zu überprüfen.
Zertifikatslebenszyklusverwaltung in der Cloud
Plattformverwaltete Zertifikate und kundenverwaltete Zertifikate
Azure PaaS-Dienste, die Verschlüsselung für Daten während der Übertragung bereitstellen, implementieren die Verschlüsselung normalerweise mithilfe digitaler Zertifikate, die von der Plattform verwaltet und mit dem Standardhostnamen verknüpft werden, der bei der Ressourcenerstellung zugewiesen wird. Wenn Sie einen benutzerdefinierten Domänennamen mit den Ressourcen verwenden möchten, die Sie in der Cloud bereitstellen, müssen Sie ein Zertifikat konfigurieren, das von externen Benutzern beim Zugriff auf den Dienst verwendet werden kann. Für die dienstinterne Kommunikation zwischen Azure-Diensten, die nicht für die Verwendung benutzerdefinierter Domänennamen konfiguriert sind, sind plattformverwaltete Zertifikate das Standardmittel zur Verschlüsselung von Daten während der Übertragung. Wenn Sie mit benutzerdefinierten Domänennamen verknüpfte Zertifikate verwenden möchten, finden Sie weitere Informationen in der Dokumentation zu den Azure-Diensten, die Sie bereitstellen möchten (z. B. in den folgenden Beispielen).
Zertifikate mit Azure Key Vault erstellen
Azure Key Vault bietet Kunden Cloud-native Zertifikatsverwaltungsfunktionen, die es der Azure-Plattform ermöglichen, von Kunden erstellte oder importierte Zertifikate zu verwenden. Sie können entweder selbstsignierte Zertifikate in Key Vault erstellen, ein Zertifikat von einem Aussteller anfordern oder ein Zertifikat von Ihrer eigenen Zertifizierungsstelle importieren. Key Vault unterstützt Sie außerdem bei der Festlegung von Richtlinien für Zertifikate, beispielsweise ob Zertifikate exportierbar oder nicht exportierbar sein sollen.
- Erste Schritte mit Key Vault-Zertifikaten
- Integrieren von Key Vault in integrierte Zertifizierungsstellen
- Erstellen und Zusammenführen einer Zertifikatsignieranforderung in Key Vault
Zertifikate lokal erstellen und in Azure verwalten
Wenn Sie Zertifikate von einer lokalen Zertifizierungsstelle ausstellen möchten, können Sie diese Zertifikate zur Verwendung durch andere Azure-Dienste in Azure Key Vault importieren. Nachdem ein Zertifikat als PEM- oder PFX-Datei exportiert wurde, können Sie es in Azure Key Vault importieren.
Erstellen und verwalten Sie Zertifikate lokal mit Lösungen von Drittanbietern
Organisationen, die bereits über unternehmensweite Funktionen zur Zertifikatsverwaltung verfügen, können erwägen, ihre lokalen Lösungen in ihre Workloads in der Cloud zu integrieren. Viele Lösungen für lokale Zertifizierungsstellen und Zertifikatsverwaltung können mithilfe von REST-API und verwalteten Identitäten in Key Vault integriert werden.
Dezentralisierte Zertifikatverwaltung
Ein Ansatz zur Skalierung der Zertifikatsverwaltungsfunktionen einer Organisation besteht darin, die Ausstellung und Verwaltung von Zertifikaten auf Anwendungs- und Infrastrukturteams zu dezentralisieren. Lösungen wie Azure Key Vault ermöglichen einer Organisation die Standardisierung akzeptabler Technologien und Prozesse zur Schlüsselverwaltung, ohne die Verwaltung dieser Schlüsselverwaltungsprozesse in einem einzigen Betriebsteam zentralisieren zu müssen. Es gibt mehrere Strategien, mit denen wichtige Verwaltungsaufgaben näher an die Anwendungs- und Infrastrukturteams delegiert werden können.
Verwaltete Zertifikate
Öffentlich zugängliche Websites, die Zertifikate einer öffentlichen Zertifizierungsstelle erfordern, können verwaltete Zertifikate in Azure PaaS-Diensten wie Azure App Service oder Azure Front Door nutzen. Zertifikate von integrierten Zertifizierungsstellen können auch in Azure Key Vault erstellt, verwaltet und rotiert werden. Weitere Informationen finden Sie in den folgenden Ressourcen:
- Benutzerdefinierte Domänen und Zertifikate im Azure App Service
- Benutzerdefinierte Domänen in Azure Front Door
- Integrieren von Key Vault in die DigiCert-Zertifizierungsstelle
Automatisierung der Zertifikatsausstellung in CI/CD-Pipelines
Organisationen, die Dev/Ops-Prozesse übernehmen, können die Ausstellung von Zertifikaten als Teil ihrer CI/CD-Pipelines automatisieren. Bei diesem Ansatz werden einige Aufgaben der Zertifikatsverwaltung an Anwendungsteams delegiert und diese können mithilfe nativer Azure-Dienste wie Azure DNS, Azure App Service und Azure Key Vault ihre eigenen Zertifikate bereitstellen.
Verwalten von Endpunkt-Zertifikaten
Endpunkt-Zertifikate werden in IaaS-Workloads verwendet, wo Server und Dienste Zertifikate zur Authentifizierung verwenden. Da dieses Szenario mit virtuellen Computern verknüpft ist, können Organisationen diese Zertifikate mit denselben Konfigurationsverwaltungstools oder Build-Automatisierungstools verwalten, die zum Verwalten der Konfigurationen virtueller Computer verwendet werden.