Integración de HSM administrado de Azure con Azure Policy

  • Artículo

Azure Policy es una herramienta de gobierno que ofrece a los usuarios la capacidad de auditar y administrar su entorno de Azure a escala. Azure Policy proporciona la capacidad de colocar barreras en los recursos de Azure para asegurarse de que son compatibles con las reglas de directivas asignadas. Permite a los usuarios realizar tareas de auditoría, aplicación en tiempo real y corrección de su entorno de Azure. Los resultados de las auditorías realizadas por la directiva estarán disponibles para los usuarios en un panel de cumplimiento, donde podrán ver una exploración en profundidad de qué recursos y componentes son compatibles y cuáles no. Para más información, consulte la Información general del servicio Azure Policy.

Escenarios de uso de ejemplo:

  • Actualmente no tiene una solución para realizar una auditoría en toda la organización o lleva a cabo auditorías manuales de su entorno pidiendo a los equipos individuales de su organización que informen de su cumplimiento. Busca una manera de automatizar esta tarea, realizar auditorías en tiempo real y garantizar la precisión de la auditoría.
  • Quiere aplicar las directivas de seguridad de la empresa y evitar que los usuarios creen determinadas claves criptográficas, pero no dispone de una forma automatizada de bloquear su creación.
  • Quiere relajar algunos requisitos para los equipos de pruebas, pero desea mantener controles estrechos en el entorno de producción. Necesita una manera automatizada y sencilla de separar la aplicación de los recursos.
  • Quiere asegurarse de que puede revertir la aplicación de nuevas directivas en caso de que se produzca un problema en el sitio activo. Necesita una solución de un solo clic para desactivar la aplicación de la directiva.
  • Se basa en una solución de terceros para la auditoría de su entorno y desea usar una oferta interna de Microsoft.

Tipos de instrucciones y efectos de directivas

Auditoría: Cuando el efecto de una directiva se establece en auditoría, la directiva no producirá ningún cambio importante en el entorno. Solo le avisará de los componentes, como las claves que no cumplan las definiciones de directiva dentro de un ámbito especificado, marcando estos componentes como no compatibles en el panel de cumplimiento de directivas. La auditoría es predeterminada si no se selecciona ningún efecto de directiva.

Denegar: si el efecto de una directiva se establece en denegar, la directiva bloqueará la creación de nuevos componentes como, por ejemplo, claves más débiles, y bloqueará nuevas versiones de componentes existentes que no cumplan con la definición de la directiva. Los recursos existentes no compatibles dentro de un HSM administrado no se verán afectados. Las capacidades de ' auditoría ' seguirán funcionando.

Las claves que usan criptografía de curva elíptica deben tener especificados los nombres de curva

Si usa criptografía de curva elíptica o claves ECC, puede personalizar una lista de nombres de curva permitidos en la siguiente lista. La opción predeterminada permite los siguientes nombres de curva.

  • P-256
  • P-256K
  • P-384
  • P-521

Las claves deben tener establecida la fecha de expiración.

Esta directiva audita todas las claves de los HSM administrados y marca las claves que no tienen establecida una fecha de expiración como no compatibles. También puede usar esta directiva para bloquear la creación de claves que no tienen establecida una fecha de expiración.

Las claves deben tener más días que los especificados en la expiración

Si una clave está demasiado cerca de la expiración, un retraso de la organización para rotar la clave puede producir una interrupción. Las claves se deben rotar cuando falta un número especificado de días antes de la expiración, para proporcionar el tiempo suficiente para reaccionar ante un error. Esta directiva auditará las claves que estén demasiado cerca de su fecha de expiración y le permitirá establecer este umbral en días. También puede usar esta directiva para evitar la creación de nuevas claves que estén demasiado cerca de su fecha de expiración.

Las claves que usan la criptografía RSA deben tener el tamaño de clave mínimo que se haya especificado

El uso de claves RSA con tamaños de clave más pequeños no es una práctica de diseño seguro. Puede estar sujeto a estándares de auditoría y certificación que exijan el uso de un tamaño de clave mínimo. La siguiente directiva le permite establecer un requisito mínimo de tamaño de clave en el HSM administrado. Puede auditar las claves que no cumplan este requisito mínimo. Esta directiva también se puede usar para bloquear la creación de nuevas claves que no cumplan el requisito de tamaño mínimo de clave.

Habilitación y administración de una directiva de HSM administrado mediante la CLI de Azure

Concesión de permiso para examinar diariamente

Para comprobar el cumplimiento de las claves de inventario del grupo, el cliente debe asignar el rol "Auditor criptográfico de HSM administrado" al "servicio de gobernanza de claves de HSM administrado de Azure Key Vault"(Identificador de aplicación: a1b76039-a76c-499f-a2dd-846b4cc32627) para que pueda acceder a los metadatos de la clave de acceso. Sin la concesión de permiso, las claves de inventario no se notificarán en el informe de cumplimiento de Azure Policy. Solo se comprobará el cumplimiento de las claves nuevas, actualizadas, importadas y rotadas. Para ello, un usuario que tenga el rol "Administrador de HSM administrado" debe ejecutar los siguientes comandos de la CLI de Azure:

En Windows:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

Copie el id impreso y péguelo en el siguiente comando:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

En Linux o en el subsistema de Windows para Linux:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Creación de asignaciones de directiva: Definición de reglas de auditoría o denegación

Las asignaciones de directivas tienen valores concretos definidos para los parámetros de las definiciones de directiva. En Azure Portal, vaya a "Directiva", filtre por la categoría "Key Vault" y busque estas cuatro definiciones de directiva de gobernanza de claves en versión preliminar. Seleccione una y, a continuación, seleccione el botón "Asignar" en la parte superior. Rellene cada campo. Si la asignación de directiva es para denegaciones de solicitudes, use un nombre claro sobre la directiva porque, cuando se deniega una solicitud, el nombre de la asignación de directiva aparecerá en el error. Seleccione Siguiente, desactive "Mostrar solo los parámetros que necesitan entrada o revisión" y escriba los valores de los parámetros de la definición de directiva. Omita "Corrección" y cree la asignación. El servicio necesitará hasta 30 minutos para aplicar asignaciones de "Denegación".

  • Las claves HSM administradas de Azure Key Vault deben tener una fecha de expiración
  • Las claves HSM administradas de Azure Key Vault que utilizan criptografía RSA deben tener un tamaño de clave mínimo especificado
  • Las claves HSM administradas de Azure Key Vault deben tener más del número especificado de días antes de la expiración
  • Las claves HSM administradas de Azure Key Vault que utilizan criptografía de curva elíptica deben tener los nombres de curva especificados

También puede hacer esta operación mediante la CLI de Azure. Consulte Creación de una asignación de directiva para identificar recursos no compatibles mediante la CLI de Azure.

Comprobación de la configuración

Intente actualizar o crear una clave que infrinja la regla, si tiene una asignación de directiva con el efecto "Denegar", devolverá el error 403 a la solicitud. Revise el resultado del examen de las claves de inventario de las asignaciones de directivas de auditoría. Después de 12 horas, compruebe el menú Cumplimiento de la directiva, filtre por la categoría "Key Vault" y busque las asignaciones. Seleccione cada uno de ellas para comprobar el informe de resultados de cumplimiento.

Solución de problemas

Si no hay ningún resultado de cumplimiento de un grupo después de un día. Compruebe si la asignación de roles se ha realizado correctamente en el paso 2. Sin el paso 2, el servicio de gobernanza de claves no podrá acceder a los metadatos de la clave. El comando az keyvault role assignment list de la CLI de Azure puede comprobar si se ha asignado el rol.

Pasos siguientes