Ügyfél által felügyelt kulcsok használata a App Configuration adatok titkosításához

Azure App Configuration titkosítja az inaktív bizalmas adatokat. Az ügyfél által felügyelt kulcsok használata továbbfejlesztett adatvédelmet biztosít azáltal, hogy lehetővé teszi a titkosítási kulcsok kezelését. Felügyelt kulcsok titkosítása esetén a App Configuration minden bizalmas információja titkosítva lesz egy felhasználó által biztosított Azure Key Vault kulccsal. Ez lehetővé teszi a titkosítási kulcs igény szerinti elforgatását. Emellett lehetővé teszi Azure App Configuration bizalmas adatokhoz való hozzáférésének visszavonását is a App Configuration példány kulcshoz való hozzáférésének visszavonásával.

Áttekintés

Azure App Configuration a bizalmas adatokat a Microsoft által biztosított 256 bites AES titkosítási kulccsal titkosítja. Minden App Configuration példány saját titkosítási kulccsal rendelkezik, amelyet a szolgáltatás kezel, és a bizalmas adatok titkosítására szolgál. A bizalmas információk közé tartoznak a kulcs-érték párokban található értékek. Ha az ügyfél által felügyelt kulcs képesség engedélyezve van, App Configuration a App Configuration példányhoz rendelt felügyelt identitást használ az Azure Active Directoryval való hitelesítéshez. A felügyelt identitás ezután meghívja az Azure Key Vault, és becsomagolja a App Configuration példány titkosítási kulcsát. Ezután a rendszer tárolja a burkolt titkosítási kulcsot, és a nem csomagolt titkosítási kulcsot egy órán keresztül gyorsítótárazza App Configuration. A App Configuration óránként frissíti a App Configuration példány titkosítási kulcsának nem csomagolt verzióját. Ez a folyamat biztosítja a rendelkezésre állást normál üzemeltetési körülmények között.

Fontos

Ha a App Configuration példányhoz rendelt identitás már nem jogosult a példány titkosítási kulcsának kicsomagolására, vagy ha a felügyelt kulcs véglegesen törlődik, akkor a továbbiakban nem lehet visszafejteni a App Configuration példányban tárolt bizalmas adatokat. Az Azure Key Vault helyreállítható törlési funkciójának használatával csökkentheti a titkosítási kulcs véletlen törlésének esélyét.

Ha a felhasználók engedélyezik az ügyfél által felügyelt kulcsképességet a Azure App Configuration-példányon, akkor szabályozni fogják, hogy a szolgáltatás hozzáférhessen a bizalmas adataikhoz. A felügyelt kulcs gyökértitkosítási kulcsként szolgál. A felhasználók a kulcstartó hozzáférési szabályzatának módosításával visszavonhatják App Configuration példányuk hozzáférését a felügyelt kulcsukhoz. A hozzáférés visszavonása után App Configuration egy órán belül elveszíti a felhasználói adatok visszafejtésének képességét. Ezen a ponton a App Configuration példány megtiltja az összes hozzáférési kísérletet. Ez a helyzet helyreállítható, ha ismét hozzáférést ad a szolgáltatásnak a felügyelt kulcshoz. Egy órán belül App Configuration visszafejthetik a felhasználói adatokat, és normál körülmények között működhetnek.

Megjegyzés

Az összes Azure App Configuration adat tárolása legfeljebb 24 órán át történik egy elkülönített biztonsági mentésben. Ez magában foglalja a le nem írt titkosítási kulcsot is. Ezek az adatok nem érhetők el azonnal a szolgáltatás vagy a szolgáltatás csapata számára. Vészhelyzeti visszaállítás esetén Azure App Configuration ismét visszavonja magát a felügyelt kulcsadatokból.

Követelmények

A Azure App Configuration ügyfél által felügyelt kulcsképességének sikeres engedélyezéséhez a következő összetevők szükségesek:

  • Standard szintű Azure App Configuration példány.
  • Az Azure Key Vault helyreállítható törlési és végleges törlési védelmi funkciók engedélyezve.
  • RSA- vagy RSA-HSM-kulcs a Key Vault belül.
    • A kulcsnak nem szabad lejártnak lennie, engedélyeznie kell, és engedélyeznie kell a tördelési és a kicsomagolási képességeket is.

Miután konfigurálta ezeket az erőforrásokat, kövesse az alábbi lépéseket, hogy a Azure App Configuration használhassák a Key Vault kulcsot:

  1. Hozzárendelhet egy felügyelt identitást a Azure App Configuration-példányhoz.
  2. Adjon meg identitástGET, WRAPés UNWRAP engedélyeket a cél Key Vault hozzáférési szabályzatában.

Ügyfél által felügyelt kulcstitkosítás engedélyezése a Azure App Configuration-példányhoz

Először egy megfelelően konfigurált Azure App Configuration példányra lesz szüksége. Ha még nincs elérhető App Configuration példánya, az alábbi rövid útmutatók egyikével állíthat be egyet:

Tipp

Az Azure Cloud Shell egy ingyenes interaktív rendszerhéj, amellyel futtathatja a parancssori utasításokat ebben a cikkben. Gyakori, előre telepített Azure-eszközökkel rendelkezik, beleértve a .NET Core SDK-t is. Ha bejelentkezett az Azure-előfizetésbe, indítsa el az Azure-Cloud Shell shell.azure.com. Az Azure Cloud Shell dokumentációjában talál további információt.

Azure-Key Vault létrehozása és konfigurálása

  1. Azure Key Vault létrehozása az Azure CLI használatával. resource-group-name Mindkettő vault-name felhasználó által biztosított, és egyedinek kell lennie. Ezeket a példákat és contoso-resource-group az alábbi példákat használjukcontoso-vault.

    az keyvault create --name contoso-vault --resource-group contoso-resource-group
    
  2. Engedélyezze a helyreállítható törlést és a törlés elleni védelmet a Key Vault. Helyettesítse be az 1. lépésben létrehozott Key Vault (contoso-vault) és erőforráscsoport (contoso-resource-group) nevét.

    az keyvault update --name contoso-vault --resource-group contoso-resource-group --enable-purge-protection --enable-soft-delete
    
  3. Hozzon létre egy Key Vault kulcsot. Adjon meg egy egyedi key-name azonosítót ehhez a kulcshoz, és cserélje le az 1. lépésben létrehozott Key Vault (contoso-vault) nevét. Adja meg, hogy kívánja-e RSA vagy RSA-HSM titkosítást.

    az keyvault key create --name key-name --kty {RSA or RSA-HSM} --vault-name contoso-vault
    

    A parancs kimenete a generált kulcs kulcsazonosítóját ("kid") jeleníti meg. Jegyezze fel a gyakorlat későbbi részében használni kívánt kulcsazonosítót. A kulcsazonosító a következő űrlappal rendelkezik: https://{my key vault}.vault.azure.net/keys/{key-name}/{Key version}. A kulcsazonosító három fontos összetevőből áll:

    1. Key Vault URI: "https://{key vault}.vault.azure.net
    2. Key Vault kulcs neve: {Key Name}
    3. Key Vault kulcs verziója: {Key version}
  4. Hozzon létre egy rendszer által hozzárendelt felügyelt identitást az Azure CLI használatával, az előző lépésekben használt App Configuration példány és erőforráscsoport nevének helyettesítésével. A rendszer a felügyelt identitást használja a felügyelt kulcs eléréséhez. contoso-app-config Egy App Configuration példány nevét szemléltetjük:

    az appconfig identity assign --name contoso-app-config --resource-group contoso-resource-group --identities [system]
    

    A parancs kimenete tartalmazza a rendszer által hozzárendelt identitás egyszerű azonosítóját ("principalId") és bérlőazonosítóját ("tenandId"). Ezekkel az azonosítókkal biztosítjuk az identitásnak a felügyelt kulcshoz való hozzáférést.

    {
    "principalId": {Principal Id},
    "tenantId": {Tenant Id},
    "type": "SystemAssigned",
    "userAssignedIdentities": null
    }
    
  5. A Azure App Configuration példány felügyelt identitásának hozzá kell férnie a kulcshoz a kulcs érvényesítéséhez, titkosításához és visszafejtéséhez. Az adott műveletkészlet, amelyhez hozzáférésre van szüksége, a következőket tartalmazza: GET, WRAP, és UNWRAP kulcsokhoz. A hozzáférés megadásához a App Configuration példány felügyelt identitásának egyszerű azonosítójára van szükség. Ezt az értéket az előző lépésben szerezték be. Az alábbiakban a következőképpen jelenik meg: contoso-principalId. Adjon engedélyt a felügyelt kulcsnak a parancssor használatával:

    az keyvault set-policy -n contoso-vault --object-id contoso-principalId --key-permissions get wrapKey unwrapKey
    
  6. Miután a Azure App Configuration példány hozzáfér a felügyelt kulcshoz, az Azure CLI használatával engedélyezheti az ügyfél által felügyelt kulcs funkciót a szolgáltatásban. Jegyezzük fel a kulcslétrehozási lépések során rögzített alábbi tulajdonságokat: key namekey vault URI.

    az appconfig update -g contoso-resource-group -n contoso-app-config --encryption-key-name key-name --encryption-key-version key-version --encryption-key-vault key-vault-Uri
    

A Azure App Configuration-példány most már úgy van konfigurálva, hogy az Azure Key Vault tárolt ügyfél által felügyelt kulcsot használja.

Következő lépések

Ebben a cikkben úgy konfigurálta a Azure App Configuration-példányt, hogy ügyfél által felügyelt kulcsot használjon a titkosításhoz. Ha többet szeretne megtudni arról, hogyan integrálhatja az App Service-t az Azure által felügyelt identitásokkal, folytassa a következő lépéssel.