Az Azure Managed HSM integrálása Azure Policy
Azure Policy egy irányítási eszköz, amely lehetővé teszi a felhasználóknak az Azure-környezet nagy léptékű naplózását és kezelését. Azure Policy lehetővé teszi, hogy védőkorlátokat helyezzen el az Azure-erőforrásokon, hogy azok megfeleljenek a hozzárendelt szabályzatszabályoknak. Lehetővé teszi a felhasználók számára az Azure-környezet naplózását, valós idejű kényszerítését és szervizelését. A szabályzat által végrehajtott auditok eredményei elérhetők lesznek a felhasználók számára egy megfelelőségi irányítópulton, ahol megtekinthetik annak részletezését, hogy mely erőforrások és összetevők megfelelők, és melyek nem. További információ: Az Azure Policy szolgáltatás áttekintése.
Példa használati forgatókönyvek:
- Jelenleg nem rendelkezik megoldással a szervezeten belüli naplózásra, vagy manuális naplózást végez a környezetében azáltal, hogy megkéri a szervezeten belüli egyes csapatokat, hogy jelentsék a megfelelőségüket. Módot keres a feladat automatizálására, a valós idejű naplózásra és a naplózás pontosságának garantálására.
- Szeretné kikényszeríteni a vállalati biztonsági szabályzatokat, és megakadályozni, hogy az egyének létrehozhassanak bizonyos titkosítási kulcsokat, de nem tudja automatikusan letiltani a létrehozásukat.
- Szeretné enyhíteni a tesztcsapatok követelményeit, de szeretné szigorúan szabályozni az éles környezetet. Az erőforrások kényszerítésének elkülönítéséhez egyszerű automatizált módszerre van szükség.
- Ha élő webhelyi probléma merül fel, biztos szeretne lenni abban, hogy visszaállíthatja az új szabályzatok kényszerítésének visszaállítását. A szabályzat kikényszerítésének kikapcsolásához egy egy kattintásos megoldásra van szükség.
- Külső megoldásra támaszkodik a környezet naplózásához, és belső Microsoft-ajánlatot szeretne használni.
A szabályzateffektusok típusai és útmutató
Naplózás: Ha egy szabályzat hatása naplózásra van állítva, a szabályzat nem okoz kompatibilitástörő változásokat a környezetben. Csak olyan összetevőkre, például kulcsokra figyelmezteti, amelyek nem felelnek meg a szabályzatdefinícióknak egy adott hatókörben, ha ezeket az összetevőket nem megfelelőként jelöli meg a szabályzatmegfelelőségi irányítópulton. A naplózás alapértelmezett, ha nincs kiválasztva szabályzateffektus.
Megtagadás: Ha egy szabályzat hatása elutasításra van állítva, a szabályzat letiltja az új összetevők, például a gyengébb kulcsok létrehozását, és letiltja a meglévő kulcsok olyan új verzióit, amelyek nem felelnek meg a szabályzatdefiníciónak. A felügyelt HSM-ben meglévő nem megfelelő erőforrásokra nincs hatással. A "naplózási" képességek továbbra is működni fognak.
Az elliptikus görbe titkosítását használó kulcsoknak a megadott görbenevekkel kell rendelkezniük
Ha elliptikus görbe-titkosítást vagy ECC-kulcsokat használ, az alábbi listából testre szabhatja a görbenevek engedélyezett listáját. Az alapértelmezett beállítás lehetővé teszi az alábbi görbenevek mindegyikét.
- P-256
- P-256K
- P-384
- P-521
A kulcsoknak lejárati dátumokat kell beállítaniuk
Ez a szabályzat naplóz minden kulcsot a felügyelt HSM-ekben, és megjelöli azokat a kulcsokat, amelyek lejárati dátuma nem megfelelőként van beállítva. Ezzel a szabályzattal letilthatja a lejárati dátummal nem rendelkező kulcsok létrehozását.
A kulcsoknak a megadott számú napnál többnek kell lennie a lejárat előtt
Ha egy kulcs túl közel van a lejárathoz, a kulcs elforgatásához szükséges szervezeti késés kimaradáshoz vezethet. A kulcsokat a lejárat előtt meghatározott számú napon belül el kell forgatni, hogy elegendő idő adhatók meg a hibákra való reagáláshoz. Ez a szabályzat a kulcsokat túl közel naplózhatja a lejárati dátumukhoz, és lehetővé teszi, hogy ezt a küszöbértéket napokban állítsa be. Ezzel a szabályzattal megakadályozhatja, hogy az új kulcsok túl közel legyenek a lejárati dátumukhoz.
Az RSA-titkosítást használó kulcsoknak meg kell adni a kulcs minimális méretét
A kisebb kulcsméretű RSA-kulcsok használata nem biztonságos tervezési gyakorlat. Előfordulhat, hogy olyan naplózási és tanúsítási szabványok vonatkoznak Önre, amelyek egy minimális kulcsméret használatát elő iktatják. Az alábbi szabályzat lehetővé teszi egy minimális kulcsméret-követelmény beállítását a felügyelt HSM-en. Naplózhatja azokat a kulcsokat, amelyek nem felelnek meg ennek a minimális követelménynek. Ez a szabályzat arra is használható, hogy letiltsa az olyan új kulcsok létrehozását, amelyek nem felelnek meg a minimális kulcsméretre vonatkozó követelménynek.
Felügyelt HSM-szabályzat engedélyezése és kezelése az Azure CLI-vel
Napi vizsgálat engedélyezése
A készlet készletkulcsainak megfelelőségének ellenőrzéséhez az ügyfélnek hozzá kell rendelnie a "Managed HSM Crypto Auditor" szerepkört az "Azure Key Vault Managed HSM Key Governance Service"-hez (alkalmazásazonosító: a1b76039-a76c-499f-a2dd-846b4cc32627), hogy hozzáférhessen a kulcs metaadataihoz. Engedély megadása nélkül a készletkulcsok nem lesznek jelentve Azure Policy megfelelőségi jelentésben, csak az új kulcsok, a frissített kulcsok, az importált kulcsok és az elforgatott kulcsok lesznek ellenőrizve a megfelelőségen. Ehhez a felügyelt HSM-hez "Felügyelt HSM-rendszergazda" szerepkörrel rendelkező felhasználónak a következő Azure CLI-parancsokat kell futtatnia:
Windows rendszeren:
az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id
Másolja ki a id
nyomtatott fájlt, és illessze be a következő parancsba:
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>
Linuxon vagy Linux Windows alrendszerén:
spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>
Szabályzat-hozzárendelések létrehozása – naplózási és/vagy megtagadási szabályok meghatározása
A szabályzat-hozzárendelések konkrét értékeket határoznak meg a szabályzatdefiníciók paramétereihez. A Azure Portal lépjen a "Szabályzat" lapra, szűrjön a "Key Vault" kategóriára, és keresse meg ezt a négy előzetes verziójú fő szabályozási szabályzatdefiníciót. Jelöljön ki egyet, majd válassza felül a "Hozzárendelés" gombot. Töltse ki az egyes mezőket. Ha a szabályzat-hozzárendelés kérésmegtagadásra vonatkozik, használjon egyértelmű nevet a szabályzatról, mert ha a rendszer megtagad egy kérést, a szabályzat-hozzárendelés neve megjelenik a hibában. Válassza a Tovább lehetőséget, törölje a jelet a "Csak bemenetet vagy felülvizsgálatot igénylő paraméterek megjelenítése" jelölőnégyzetből, és adja meg a szabályzatdefiníció paramétereinek értékeit. Hagyja ki a "Szervizelés" elemet, és hozza létre a hozzárendelést. A szolgáltatásnak legfeljebb 30 perce lesz a "Megtagadás" hozzárendelések kényszerítéséhez.
- Az Azure Key Vault felügyelt HSM-kulcsoknak lejárati dátummal kell rendelkezniük
- Az Azure Key Vault RSA-titkosítást használó felügyelt HSM-kulcsoknak rendelkezniük kell egy meghatározott minimális kulcsméretkel
- Az Azure Key Vault felügyelt HSM-kulcsoknak a lejárat előtt a megadott számú napnál többel kell rendelkezniük
- Az Azure Key Vault háromliptikus görbe titkosítását használó felügyelt HSM-kulcsoknak a megadott görbenevekkel kell rendelkezniük
Ezt a műveletet az Azure CLI-vel is elvégezheti. Lásd: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azonosításához az Azure CLI-vel.
Telepítés tesztelése
Próbáljon meg frissíteni/létrehozni egy olyan kulcsot, amely megsérti a szabályt. Ha "Megtagadás" effektusú szabályzat-hozzárendeléssel rendelkezik, az 403-at ad vissza a kérésnek. Tekintse át a szabályzat-hozzárendelések naplózási kulcsainak vizsgálati eredményét. 12 óra elteltével ellenőrizze a Szabályzat megfelelősége menüt, szűrjön a "Key Vault" kategóriára, és keresse meg a hozzárendeléseket. Jelölje ki mindegyiket a megfelelőségi eredmény jelentésének ellenőrzéséhez.
Hibaelhárítás
Ha a készlet egy nap után nem rendelkezik megfelelőségi eredménnyel. Ellenőrizze, hogy a szerepkör-hozzárendelés sikeresen befejeződött-e a 2. lépésben. A 2. lépés nélkül a kulcsszabályozási szolgáltatás nem fog tudni hozzáférni a kulcs metaadataihoz. Az Azure CLI-parancs az keyvault role assignment list
képes ellenőrizni, hogy a szerepkör hozzá lett-e rendelve.
Következő lépések
- Naplózás és gyakori kérdések a Key Vaulthoz készült Azure Policyval kapcsolatban
- További információk az Azure Policy-szolgáltatásról
- Lásd: Key Vault minták: Key Vault beépített szabályzatdefiníciók
- Tudnivalók a Microsoft Cloud Key Vaultra vonatkozó biztonsági teljesítménytesztjéről