Intégrer Azure Managed HSM à Azure Policy

  • Article

Azure Policy est un outil de gouvernance qui permet aux utilisateurs d’auditer et de gérer leur environnement Azure à grande échelle. Azure Policy offre la possibilité de placer des barrières sur les ressources Azure afin de s’assurer que celles-ci sont conformes aux règles de stratégie affectées. Il permet aux utilisateurs d’effectuer des audits, l’application en temps réel et la correction de leur environnement Azure. Les résultats des audits réalisés par la stratégie sont mis à disposition des utilisateurs dans un tableau de bord de conformité qui présente une vue détaillée des ressources et composants conformes et non conformes. Pour plus d’informations, reportez-vous à la rubrique Présentation du service Azure Policy.

Exemples de scénarios d’utilisation :

  • Vous ne disposez actuellement d’aucune solution pour effectuer un audit au sein de votre organisation ou vous effectuez des audits manuels de votre environnement en demandant à chaque équipe de votre organisation d’établir un état de leur conformité. Vous recherchez un moyen d’automatiser cette tâche, d’effectuer des audits en temps réel et de garantir l’exactitude de l’audit.
  • Vous voulez appliquer les stratégies de sécurité de votre entreprise et empêcher la création de certaines clés de chiffrement, mais vous ne disposez d’aucun moyen automatisé pour bloquer leur création.
  • Vous souhaitez assouplir certaines exigences pour vos équipes de test, tout en conservant des contrôles étroits sur votre environnement de production. Vous recherchez une méthode automatisée simple pour séparer l’application de vos ressources.
  • Vous voulez être sûr de pouvoir annuler l’application des nouvelles stratégies en cas de problème de site actif. Vous recherchez une solution en un clic pour désactiver l’application de la stratégie.
  • Vous faites appel à une solution tierce pour réaliser l’audit de votre environnement et vous souhaitez utiliser une offre Microsoft interne.

Types d’effets des stratégies et conseils

Audit : Lorsque l’effet d’une stratégie est défini sur audit, celle-ci n’entraînera aucun changement cassant sur votre environnement. Elle vous informera simplement du fait que des composants tels que des clés ne sont pas conformes aux définitions de la stratégie au sein d’une étendue spécifiée, en les marquant comme non conformes dans le tableau de bord de conformité aux stratégies. L’audit est le paramètre par défaut si aucun effet de stratégie n’est sélectionné.

Refuser : lorsque l’effet d’une stratégie est défini sur Refuser, celle-ci bloque la création de nouveaux composants tels que des clés plus faibles, et bloque les nouvelles versions de clés existantes qui ne sont pas conformes à la définition de stratégie. Les ressources non conformes existantes au sein d’un HSM managé ne sont pas affectées. Les capacités « audit » continuent de fonctionner.

Les clés utilisant un chiffrement à courbe elliptique doivent avoir les noms de courbes spécifiés

Si vous utilisez un chiffrement à courbe elliptique ou des clés ECC, vous pouvez personnaliser une liste autorisée de noms de courbes à partir de la liste ci-dessous. L’option par défaut autorise tous les noms de courbes suivants.

  • P-256
  • P-256K
  • P-384
  • P-521

Les clés doivent avoir des dates d’expiration définies

Cette stratégie audite toutes les clés de vos HSM managés et signale les clés qui n’ont pas de date d’expiration définie comme non conformes. Vous pouvez également utiliser cette stratégie pour bloquer la création de clés qui n’ont pas de date d’expiration définie.

Les clés doivent avoir une durée de vie supérieure au nombre spécifié de jours avant l’expiration

Si une clé a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation de la clé peut occasionner une interruption. Les clés doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. Cette stratégie audite les clés dont la date d’expiration est proche, et vous permet de définir ce seuil en jours. Vous pouvez également l’utiliser pour empêcher la création de clés trop proches de leur date d’expiration.

Les clés utilisant le chiffrement RSA doivent avoir une taille minimale spécifiée

L’utilisation de clés RSA de taille inférieure n’est pas une pratique de conception sécurisée. Il se peut que vous soyez soumis à des normes d’audit et de certification qui rendent obligatoire l’utilisation d’une taille de clé minimale. La stratégie suivante vous permet de définir une exigence de taille minimale de clé sur votre HSM managé. Vous pouvez auditer les clés qui ne répondent pas à cette exigence. Vous pouvez également utiliser cette stratégie pour bloquer la création de clés qui ne satisfont pas à l’exigence de taille minimale de clé.

Activation et gestion d’une stratégie HSM managé via Azure CLI

Autorisation d’analyse quotidienne

Pour vérifier la conformité des clés d’inventaire du pool, le client doit attribuer le rôle « Auditeur du chiffrement du HSM managé » à « Azure Key Vault Managed HSM Key Governance Service » (ID d’application : a1b76039-a76c-499f-a2dd-846b4cc32627) afin qu’il puisse accéder aux métadonnées de la clé. Sans l’octroi de l’autorisation, les clés d’inventaire ne seront pas signalées dans le rapport de conformité Azure Policy. La vérification de la conformité se limitera aux nouvelles clés, aux clés mises à jour, aux clés importées et aux clés pivotées. Pour ce faire, un utilisateur qui a le rôle « Administrateur du HSM managé » sur le HSM managé doit exécuter les commandes Azure CLI suivantes :

Sur Windows :

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

Copiez l’élément id imprimé, puis collez-le dans la commande suivante :

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

Sur Linux ou un sous-système Windows de Linux :

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Créer des affectations de stratégie - définir des règles d’audit et/ou de refus

Les affectations de stratégie ont des valeurs concrètes définies pour les paramètres des définitions de stratégie. Dans le portail Azure, accédez à « Stratégie », filtrez sur la catégorie « Key Vault », recherchez ces quatre définitions de stratégie de gouvernance clés en préversion. Sélectionnez-en une, puis cliquez sur le bouton « Attribuer » en haut. Remplissez chaque champ. Si l’attribution de stratégie concerne des refus de requête, utilisez un nom explicite pour la stratégie car, lorsqu’une demande est refusée, le nom de l’affectation de stratégie apparaît dans l’erreur. Sélectionnez Suivant, décochez « Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation », puis entrez des valeurs pour les paramètres de la définition de stratégie. Ignorez l’étape « Correction » et créez l’affectation. Le service aura besoin de 30 minutes pour appliquer les affectations « Refuser ».

  • Les clés HSM managées Azure Key Vault doivent avoir une date d’expiration
  • Les clés HSM managées Azure Key Vault utilisant le chiffrement RSA doit avoir une taille de clé minimale spécifiée
  • Les clés HSM managées Azure Key Vault doivent avoir plus de jours que le nombre spécifié de jours avant l’expiration
  • Les clés HSM managées Azure Key Vault utilisant le chiffrement à courbe elliptique doivent avoir les noms de courbe spécifiés

Vous pouvez également effectuer cette opération à l'aide d'Azure CLI. Voir Créer une affectation de stratégie pour identifier les ressources non conformes avec Azure CLI.

Tester votre installation

Essayez de mettre à jour/créer une clé qui enfreint la règle. Si vous avez une attribution de stratégie avec l’effet « Refuser », elle retourne la valeur 403 à votre demande. Passez en revue le résultat de l’analyse des clés d’inventaire des affectations de stratégie d’audit. Après 12 heures, vérifiez le menu Conformité de la stratégie, filtrez sur la catégorie « Key Vault » et recherchez vos affectations. Sélectionnez chacune d’elles pour vérifier le rapport de résultat de conformité.

Dépannage

S’il n’y a aucun résultat de conformité d’un pool après un jour. Vérifiez si l’attribution de rôle a été correctement effectuée à l’étape 2. Sans l’étape 2, le service de gouvernance de clé ne pourra pas accéder aux métadonnées de la clé. La commande Azure CLI az keyvault role assignment list peut vérifier si le rôle a été attribué.

Étapes suivantes