A Managed HSM hozzáférés-vezérlése
Megjegyzés
Key Vault erőforrás-szolgáltató két erőforrástípust támogat: a tárolókat és a felügyelt HSM-eket. A cikkben ismertetett hozzáférés-vezérlés csak felügyelt HSM-ekre vonatkozik. A felügyelt HSM hozzáférés-vezérlésével kapcsolatos további információkért lásd: Hozzáférés biztosítása Key Vault kulcsokhoz, tanúsítványokhoz és titkos kódokhoz azure-beli szerepköralapú hozzáférés-vezérléssel.
Az Azure Key Vault managed HSM egy felhőalapú szolgáltatás, amely biztosítja a titkosítási kulcsokat. Mivel ezek az adatok bizalmasak és üzleti szempontból kritikusak, a felügyelt HSM-ekhez való hozzáférést úgy kell biztonságossá tenni, hogy csak a jogosult alkalmazások és felhasználók férhetnek hozzá azokhoz. Ez a cikk áttekintést nyújt a felügyelt HSM-hozzáférés-vezérlési modellről. Ismerteti a hitelesítést és az engedélyezést, valamint ismerteti a felügyelt HSM-ekhez való hozzáférés biztonságossá tételét.
Hozzáférés-vezérlési modell
A felügyelt HSM-hez való hozzáférés két felületen keresztül történik: a felügyeleti síkon és az adatsíkon. A felügyeleti síkon kezeli magát a HSM-et. Ebben a síkban a műveletek közé tartozik a felügyelt HSM-k létrehozása és törlése, valamint a felügyelt HSM-tulajdonságok lekérése. Az adatsíkon dolgozik a felügyelt HSM-ben tárolt adatokkal, azaz a HSM által támogatott titkosítási kulcsokkal. Kulcsokat adhat hozzá, törölhet, módosíthat és használhat a titkosítási műveletek végrehajtásához, szerepkör-hozzárendelések kezeléséhez a kulcsokhoz való hozzáférés szabályozásához, teljes HSM-biztonsági mentés létrehozásához, teljes biztonsági mentés visszaállításához és biztonsági tartomány kezeléséhez az adatsík felületéről.
Ha egy felügyelt HSM-et mindkét síkon el szeretne érni, minden hívónak megfelelő hitelesítéssel és engedélyezéssel kell rendelkeznie. A hitelesítés létrehozza a hívó identitását. Az engedélyezés határozza meg, hogy a hívó milyen műveleteket hajthat végre. A hívó az Azure Active Directoryban definiált biztonsági tagok bármelyike lehet – felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás.
Mindkét sík az Azure Active Directoryt használja a hitelesítéshez. Az engedélyezéshez különböző rendszereket használnak az alábbiak szerint
- A felügyeleti sík azure-beli szerepköralapú hozzáférés-vezérlést (Azure RBAC) használ, amely az Azure Resource Manager
- Az adatsík felügyelt HSM-szintű RBAC-t (felügyelt HSM helyi RBAC-t) használ, egy felügyelt HSM-szinten implementált és kényszerített engedélyezési rendszert.
Felügyelt HSM létrehozásakor a kérelmező az adatsíkgazdák listáját is tartalmazza (az összes biztonsági tag támogatott). Csak ezek a rendszergazdák férhetnek hozzá a felügyelt HSM-adatsíkhoz a kulcsműveletek végrehajtásához és az adatsík szerepkör-hozzárendeléseinek kezeléséhez (felügyelt HSM helyi RBAC).
Mindkét sík engedélymodellje ugyanazt a szintaxist használja, de különböző szinteken vannak kényszerítve, és a szerepkör-hozzárendelések különböző hatóköröket használnak. Az Azure RBAC felügyeleti síkot az Azure Resource Manager, míg a felügyelt HSM helyi RBAC-t maga a felügyelt HSM kényszeríti.
Fontos
A felügyeletisík-hozzáférés biztosítása a rendszerbiztonsági tag számára nem biztosít hozzáférést a rendszerbiztonsági fő adatsíkhoz; Például egy felügyeletisík-hozzáféréssel rendelkező rendszerbiztonsági tag nem fér hozzá automatikusan a kulcsokhoz vagy az adatsík szerepkör-hozzárendeléseihez. Ez az elkülönítés szándékosan történik, hogy megakadályozza a felügyelt HSM-ben tárolt kulcsokhoz való hozzáférést eredményező jogosultságok véletlen kiterjesztését.
Egy kivétel van: az Azure Active Directory globális rendszergazdai szerepkör tagjai implicit módon részei a felügyelt HSM-rendszergazdai szerepkörnek helyreállítási célokból, például ha már nincsenek érvényes felügyelt HSM-rendszergazdai fiókok. Kövesse az Azure Active Directory ajánlott eljárásait a globális rendszergazdai szerepkör biztonságossá tételéhez.
Például az előfizetés rendszergazdája (mivel "Közreműködő" engedéllyel rendelkezik az előfizetés összes erőforrásához) törölheti a felügyelt HSM-et az előfizetésében, de ha nem rendelkezik kifejezetten a felügyelt HSM helyi RBAC-n keresztül biztosított adatsík-hozzáféréssel, akkor nem férhetnek hozzá kulcsokhoz vagy nem kezelhetik a szerepkör-hozzárendelést a felügyelt HSM-ben, hogy hozzáférést biztosítsanak maguknak vagy másoknak az adatsíkhoz.
Hitelesítés Azure Active Directory-fiókkal
Ha felügyelt HSM-et hoz létre egy Azure-előfizetésben, az automatikusan társítva lesz az előfizetés Azure Active Directory-bérlőjével. A felügyelt HSM eléréséhez mindkét sík összes hívójának regisztrálva kell lennie ebben a bérlőben, és hitelesítenie kell magát.
Az alkalmazás az Azure Active Directoryval hitelesíti magát, mielőtt meghívja bármelyik síkot. Az alkalmazás bármilyen támogatott hitelesítési módszert használhat az alkalmazás típusa alapján. Az alkalmazás jogkivonatot szerez be egy erőforráshoz a síkban a hozzáféréshez. Az erőforrás egy végpont a felügyeleti vagy adatsíkon az Azure-környezet alapján. Az alkalmazás a jogkivonatot használja, és REST API-kérést küld a felügyelt HSM-végpontnak. További információért tekintse át a teljes hitelesítési folyamatot.
Az egyetlen hitelesítési mechanizmus használata mindkét síkon számos előnnyel jár:
- A szervezetek központilag szabályozhatják a hozzáférést a szervezet összes felügyelt HSM-éhez.
- Ha egy felhasználó távozik, azonnal elveszíti a hozzáférést a szervezet összes felügyelt HSM-éhez.
- A szervezetek az Azure Active Directory beállításaival testre szabhatják a hitelesítést, például engedélyezhetik a többtényezős hitelesítést a fokozott biztonság érdekében.
Erőforrásvégpontok
A biztonsági tagok végpontokon keresztül férnek hozzá a síkokhoz. A két sík hozzáférési vezérlői egymástól függetlenül működnek. Ha hozzáférést szeretne adni egy alkalmazásnak a kulcsok használatához egy felügyelt HSM-ben, a felügyelt HSM helyi RBAC használatával biztosítson adatsík-hozzáférést. Ha hozzáférést szeretne adni egy felhasználónak a felügyelt HSM-erőforráshoz a felügyelt HSM-erőforrások létrehozásához, olvasásához, törléséhez, áthelyezéséhez, valamint az Azure RBAC-t használó egyéb tulajdonságok és címkék szerkesztéséhez.
Az alábbi táblázat a felügyeleti és adatsíkok végpontjait mutatja be.
| Hozzáférési sík | Hozzáférés végpontjai | Üzemeltetés | Hozzáférés-vezérlési mechanizmus |
|---|---|---|---|
| Felügyeleti sík | Globális: management.azure.com:443 |
Felügyelt HSM-k létrehozása, olvasása, frissítése, törlése és áthelyezése Felügyelt HSM-címkék beállítása |
Azure RBAC-vel |
| Adatsík | Globális: <hsm-name.managedhsm.azure.net:443> |
Kulcsok: visszafejtés, titkosítás, unwrap, wrap, verify, sign, get, list, update, create, import, delete, backup, restore, purge Adatsík szerepkörkezelése (felügyelt HSM helyi RBAC)*: szerepkör-definíciók listázása, szerepkörök hozzárendelése, szerepkör-hozzárendelések törlése, egyéni szerepkörök definiálása Biztonsági mentés/visszaállítás: biztonsági mentés, visszaállítás, állapot biztonsági mentési/visszaállítási műveletek ellenőrzése Biztonsági tartomány: biztonsági tartomány letöltése és feltöltése |
Felügyelt HSM helyi RBAC |
Felügyeleti sík és Azure RBAC
A felügyeleti síkon az Azure RBAC használatával engedélyezheti a hívó által végrehajtható műveleteket. Az Azure RBAC-modellben minden Azure-előfizetés rendelkezik az Azure Active Directory egy-egy példányával. A címtárból hozzáférést adhat a felhasználóknak, csoportoknak és alkalmazásoknak. Az Access az Azure-előfizetés azon erőforrásainak kezeléséhez érhető el, amelyek az Azure Resource Manager üzembehelyezési modellt használják. A hozzáférés biztosításához használja az Azure Portal, az Azure CLI, a Azure PowerShell vagy az Azure Resource Manager REST API-kat.
Létrehozhat egy kulcstartót egy erőforráscsoportban, és kezelheti a hozzáférést az Azure Active Directory használatával. Lehetővé teszi a felhasználóknak vagy csoportoknak az erőforráscsoport kulcstartóinak kezelését. A hozzáférést egy adott hatókör szintjén adja meg a megfelelő Azure-szerepkörök hozzárendelésével. Ha hozzáférést szeretne adni egy felhasználónak a kulcstartók kezeléséhez, egy előre meghatározott szerepkört key vault Contributor rendel hozzá a felhasználóhoz egy adott hatókörben. A következő hatókörszintek rendelhetők hozzá egy Azure-szerepkörhöz:
- Felügyeleti csoport: Az előfizetés szintjén hozzárendelt Azure-szerepkör az adott felügyeleti csoport összes előfizetésére vonatkozik.
- Előfizetés: Az előfizetés szintjén hozzárendelt Azure-szerepkör az előfizetésen belüli összes erőforráscsoportra és erőforrásra vonatkozik.
- Erőforráscsoport: Az erőforráscsoport szintjén hozzárendelt Azure-szerepkör az adott erőforráscsoport összes erőforrására vonatkozik.
- Adott erőforrás: Egy adott erőforráshoz hozzárendelt Azure-szerepkör az adott erőforrásra vonatkozik. Ebben az esetben az erőforrás egy adott kulcstartó.
Számos előre definiált szerepkör létezik. Ha egy előre definiált szerepkör nem felel meg az igényeinek, definiálhatja saját szerepkörét. További információ: Azure RBAC: Beépített szerepkörök.
Adatsík és felügyelt HSM helyi RBAC
Egy szerepkör hozzárendelésével hozzáférést adhat egy biztonsági tagnak adott kulcsműveletek végrehajtásához. Minden szerepkör-hozzárendeléshez meg kell adnia egy szerepkört és hatókört, amelyre a hozzárendelés vonatkozik. Felügyelt HSM esetén helyi RBAC két hatókör érhető el.
- "/" vagy "/keys": HSM szintű hatókör. Az ebben a hatókörben szerepkörhöz rendelt biztonsági tagok végrehajthatják a szerepkörben meghatározott műveleteket a felügyelt HSM összes objektumához (kulcsához).
- "/keys/<key-name>": Kulcsszintű hatókör. Az ebben a hatókörben szerepkörhöz rendelt rendszerbiztonsági tagok csak a megadott kulcs összes verziójára vonatkozóan hajthatják végre az ebben a szerepkörben meghatározott műveleteket.
Következő lépések
- A rendszergazdáknak szánt első lépéseket ismertető oktatóanyagért lásd : Mi a felügyelt HSM?
- Szerepkörkezelési oktatóanyagért lásd: Felügyelt HSM helyi RBAC
- További információ a felügyelt HSM-naplózás használati naplózásáról: Felügyelt HSM-naplózás