Gestion des clés et des certificats dans Microsoft Cloud for Sovereignty
L’authentification et le chiffrement cryptographiques sont des stratégies efficaces pour répondre aux exigences de confidentialité, de confidentialité et de souveraineté des données. Cependant, l’efficacité de ces solutions repose sur la sécurité et la résilience des technologies cryptographiques et des processus opérationnels sous-jacents. Cet article présente les concepts que vous devez connaître lorsque vous planifiez l’utilisation de clés de chiffrement et de certificats numériques pour sécuriser les charges de travail que vous migrez vers le cloud.
Gestion des clés
Les matériaux cryptographiques sont stockés et gérés dans Azure à l’aide d’ Azure Key Vault, disponible en mode de déploiement mutualisé et monolocataire. Azure Key Vault (AKV) fournit une gestion native des clés, des secrets et des certificats dans le cloud dans un service mutualisé soutenu par des modules de sécurité matérielle validés FIPS 140. HSM managé par Azure Key Vault est un service à locataire unique qui vous offre un contrôle administratif complet sur le domaine de sécurité de votre organisation et les clés de chiffrement associées.
Recommandations pour une gestion efficace des clés
Les contrôles de la plateforme, bien qu’ils soient impératifs, ne constituent pas le seul aspect d’une gestion efficace des clés. Microsoft présente également plusieurs pratiques recommandées pour une gestion efficace des clés.
Contrôles d’accès
Si vous utilisez les SKU Standard ou Premium d’Azure Key Vault, nous vous recommandons de déployer un coffre-fort par application, environnement et région, afin d’appliquer le moindre privilège. Si vous utilisez HSM managé, il peut être préférable de déployer un plus petit nombre de coffres centralisés pour gérer les coûts. Quelle que soit la référence SKU que vous déployez, vous devez réglementer étroitement l’accès au coffre-fort à l’aide du contrôle d’accès en fonction du rôle (RBAC) et vous assurer que les politiques d’accès au sein de chaque coffre-fort respectent le principe du moindre privilège. Nous vous recommandons d’accorder l’accès aux utilisateurs, groupes et applications dans une portée spécifique, comme un abonnement, un groupe de ressources ou simplement un coffre de clés spécifique, en utilisant les rôles prédéfinis Azure RBAC. Le contrôle de l’accès est critique et recommandé dans les plans de gestion et de données.
Sauvegarde et récupération
Vous devez avoir des sauvegardes régulières au niveau de HSM et pour des clés spécifiques. Nous vous recommandons de configurer les fonctionnalités de protection contre la suppression temporaire et le vidage pour vous protéger contre les suppressions accidentelles et malveillantes. Azure Monitor, qui est entièrement intégré à HSM managé, est recommandé pour la surveillance et la journalisation de l’accès aux coffres de clés. Pour plus d’informations, consultez Pratiques recommandées pour HSM managé Azure.
Rotation des clés
Assurez-vous que des rotations régulières des clés gérées par le client (CMK) sont effectuées, à une fréquence déterminée par la stratégie de votre organisation. Les clés doivent également être alternées si un administrateur disposant d’un accès aux clés quitte ou change de rôle, ou si une CMK est compromise. La rotation automatique est prise en charge via Azure Key Vault et HSM managé Azure. Dans la mesure du possible, assurez-vous que le processus de rotation est automatisé, exécuté sans aucune interaction humaine et testé pour garantir son efficacité. En cas d’urgence, par exemple une clé compromise, un système robuste est nécessaire pour régénérer immédiatement les secrets. Si l’automatisation de ce processus n’est pas réalisable, nous vous recommandons de configurer des alertes pour éviter les expirations et les interruptions des certificats.
Remarque
Bien que la rotation des CMK pour les machines virtuelles confidentielles soit prise en charge, le processus d’automatisation ne l’est pas encore. Vous pouvez voir davantage de recommandations ici.
Recommandations liées à HSM
Certains clients souhaitent conserver leurs clés séparées des données en stockant les clés dans un HSM externe, soit sur un cloud tiers, soit sur local. Bien que cette étape puisse sembler une transition naturelle par rapport à la gestion des environnements local, un HSM externe peut introduire de nouveaux risques au niveau des couches identité, réseau et logicielle. Un HSM externe peut également augmenter les risques de performances et introduire des problèmes tels que des problèmes de réseau entraînant une latence, des problèmes de SLA causés par des problèmes avec le HSM tiers et des coûts de maintenance et de formation. De plus, les HSM tiers peuvent ne pas fournir de fonctionnalités importantes telles que la protection contre la suppression réversible et la purge.
Pour plus d’informations sur les contrôles techniques intégrés à la zone d’atterrissage souveraine (SLZ) pour appliquer les pratiques de gestion des clés appropriées, consultez Portefeuille de stratégies.
Gestion du certificat
Les certificats de sécurité numérique sont largement utilisés pour sécuriser les communications des applications cloud. Les frais généraux associés aux activités de gestion des certificats, notamment l’émission, la rotation et la révocation des certificats, peuvent augmenter rapidement à mesure que davantage de charges de travail sont migrées vers le cloud. Les clients qui envisagent de migrer leurs charges de travail vers Microsoft Cloud for Sovereignty doivent comprendre leurs scénarios de certificats de sécurité numérique afin de pouvoir développer des plans de gestion des certificats dans le cadre de leur migration vers le cloud.
Scénarios courants de certificats numériques
Cette section décrit les scénarios cloud courants qui utilisent des certificats numériques pour sécuriser les communications.
Authentification et cryptage du site Web
Les sites Web utilisent des certificats TLS pour vérifier leur identité auprès des visiteurs et pour crypter les communications. Les sites Web publics utilisent normalement des certificats d’autorités de certification (CA) publiques, mais les organisations utilisent souvent des certificats d’une autorité de certification privée pour les sites Web qui ne sont pas exposés au public. Dans les deux cas, les certificats des sites Web doivent être renouvelés lorsqu’ils expirent ou lorsque l’intégrité du certificat est remise en question. Pour les organisations ayant une présence importante sur le Web, la gestion de ces certificats peut nécessiter une planification et des efforts importants.
Authentification de service
Les applications distribuées et les microservices utilisent souvent un modèle de session sans état, ce qui permet une flexibilité dans le traitement des demandes d’application, mais peut également nécessiter une authentification et un chiffrement supplémentaires pour atténuer les risques de sécurité. Les certificats sont souvent utilisés pour l’authentification mutuelle entre les couches d’application et les composants. Souvent, ces composants sont gérés par des équipes de développement d’applications décentralisées, ce qui rend la gestion des certificats numériques difficile à suivre et à surveiller dans l’ensemble de l’entreprise.
Authentification des infrastructures
Les serveurs et les périphériques réseau utilisent souvent des certificats clients pour l’authentification sur le réseau d’entreprise et lors des activités de maintenance. Les organisations qui utilisent des solutions comme Active Directory ou Kerberos doivent généralement gérer les certificats clients pour leur infrastructure déployée.
Autres scénarios de certificat
Les solutions de gestion point de terminaison utilisent souvent des certificats d’appareil pour authentifier les appareils des utilisateurs finaux tels que les PC, les ordinateurs portables et les appareils mobiles. Les certificats de signature de code sont utilisés dans les environnements de développement pour vérifier l’éditeur de logiciels dans le cadre de l’approche de sécurité des applications d’une organisation.
Gestion du cycle de vie des certificats dans le cloud
Certificats gérés par la plateforme et certificats gérés par le client
Les services Azure PaaS qui assurent le chiffrement des données en transit implémentent généralement le chiffrement à l’aide de certificats numériques gérés par la plateforme et associés au nom d’hôte par défaut attribué lors de la création de la ressource. Lorsque vous souhaitez utiliser un nom de domaine personnalisé avec les ressources que vous déployez sur le cloud, vous devez configurer un certificat qui peut être utilisé par les utilisateurs externes lorsqu’ils accèdent au service. Pour la communication intra-service entre les services Azure qui ne sont pas configurés pour utiliser des noms de domaine personnalisés, les certificats gérés par la plateforme constituent le moyen par défaut de chiffrer les données en transit. Si vous souhaitez utiliser des certificats associés à des noms de domaine personnalisés, consultez la documentation des services Azure que vous envisagez de déployer, comme les exemples suivants.
Créez des certificats Azure Key Vault
Azure Key Vault fournit aux clients des fonctionnalités de gestion de certificats cloud natives qui permettent à la plateforme Azure d’utiliser les certificats que les clients créent ou importent. Vous pouvez créer des certificats auto-signés dans Key Vault, demander un certificat à un émetteur ou importer un certificat depuis votre propre autorité de certification. Key Vault vous aide également à spécifier des stratégies pour les certificats, par exemple s’il faut rendre les certificats exportables ou non.
- Premiers pas avec les certificats Key Vault
- Intégration de Key Vault avec les autorités de certification intégrées
- Créer et fusionner une demande de signature de certificat dans Key Vault
Créez des certificats local et gérez-les dans Azure
Si vous souhaitez émettre des certificats à partir d’une autorité de certification local, vous pouvez importer ces certificats dans Azure Key Vault pour les utiliser par d’autres services Azure. Une fois qu’un certificat est exporté sous forme de fichier PEM ou PFX, vous pouvez l’importer dans Azure Key Vault.
Créez et gérez des certificats local avec des solutions tierces
Les organisations qui disposent déjà de fonctionnalités de gestion de certificats de niveau entreprise peuvent envisager d’intégrer leurs solutions local à leurs charges de travail dans le cloud. De nombreuses solutions d’autorité de certification et de gestion de certificats local peuvent s’intégrer à Key Vault à l’aide du API REST et des identités managées.
Gestion des certificats décentralisée
Une approche pour faire évoluer les capacités de gestion des certificats d’une organisation consiste à décentraliser l’émission et la gestion des certificats vers les équipes d’application et d’infrastructure. Des solutions telles qu’Azure Key Vault permettent à une organisation de standardiser des technologies et des processus de gestion de clés acceptables, sans centraliser l’administration de ces processus de gestion de clés au sein d’une seule équipe opérationnelle. Plusieurs stratégies peuvent être utilisées pour déléguer les responsabilités de gestion clés au plus près des équipes d’application et d’infrastructure.
Certificats gérés
Les sites Web publics qui nécessitent des certificats d’une autorité de certification publique peuvent tirer parti des certificats gérés dans les services Azure PaaS, tels qu’Azure App Service ou Azure Front Door. Les certificats des autorités de certification intégrées peuvent également être créés, gérés et alternés dans Azure Key Vault. Pour plus d’informations, voir les ressources suivantes (éventuellement en anglais) :
- Domaines et certificats personnalisés dans Azure App Service
- Domaines personnalisés dans Azure Front Door
- Intégration de Key Vault avec l’autorités de certification DigiCert
Automatisation de la délivrance de certificats dans les pipelines CI/CD
Les organisations qui adoptent les processus Dev/Ops peuvent automatiser l’émission de certificats dans le cadre de leurs pipelines CI/CD. Cette approche délègue certaines responsabilités de gestion des certificats aux équipes d’application et leur permet de provisionner leurs propres certificats à l’aide de services Azure natifs, tels qu’Azure DNS, Azure App Service et Azure Key Vault.
Gestion des certificats point de terminaison
Les certificats point de terminaison sont utilisés dans les charges de travail IaaS, où les serveurs et services utilisent des certificats pour l’authentification. Étant donné que ce scénario est associé aux machines virtuelles, les organisations peuvent gérer ces certificats à l’aide des mêmes outils de gestion de configuration ou créer des outils d’automatisation utilisés pour gérer les configurations des machines virtuelles.