Megosztás a következőn keresztül:

Az Azure Managed HSM integrálása az Azure Policyval

  • Cikk

Az Azure Policy egy szabályozási eszköz, amely lehetővé teszi a felhasználók számára az Azure-környezetek nagy léptékű naplózását és kezelését. Az Azure Policy lehetővé teszi a védőkorlátok Azure-erőforrásokon való elhelyezését, hogy azok megfeleljenek a hozzárendelt szabályzatszabályoknak. Lehetővé teszi a felhasználók számára az Azure-környezet naplózását, valós idejű kikényszerítését és szervizelését. A szabályzat által végrehajtott auditok eredményei elérhetők lesznek a felhasználók számára egy megfelelőségi irányítópulton, ahol megtekinthetik, hogy mely erőforrások és összetevők megfelelőek, és melyek nem. További információért lásd: Az Azure Policy szolgáltatás áttekintése.

Néhány alkalmazási példa:

  • Jelenleg nem rendelkezik megoldással a szervezeten belüli naplózás elvégzésére, vagy manuális naplózást végez a környezetében azáltal, hogy megkéri a szervezet egyes csapatait, hogy jelentsék a megfelelőségüket. Szeretné automatizálni ezt a feladatot, valós időben elvégezni az auditokat, és garantálni a naplózás pontosságát.
  • Szeretné kikényszeríteni a vállalati biztonsági szabályzatokat, és megakadályozni, hogy az egyének létrehozhassanak bizonyos titkosítási kulcsokat, de nincs automatizált módja a létrehozásuk letiltására.
  • Szeretne enyhíteni néhány követelményt a tesztelő csapatai számára, de egyúttal szigorúan szabályozni szeretné a működési környezetét. Szüksége van egy egyszerű automatizált módszerre ahhoz, hogy különválassza erőforrásainak alkalmazását.
  • Győződjön meg arról, hogy élő webhely esetén visszaállíthatja az új szabályzatok érvényesítését. A szabályzat kikényszerítésének kikapcsolásához egy kattintásos megoldásra van szüksége.
  • Egy külső megoldásra támaszkodik a környezet naplózásához, és belső Microsoft-ajánlatot szeretne használni.

A szabályzateffektusok típusai és útmutatás

Naplózás: Ha egy szabályzat hatása naplózásra van beállítva, a szabályzat nem okoz kompatibilitástörő változásokat a környezetében. Csak olyan összetevőkre, például kulcsokra figyelmezteti, amelyek nem felelnek meg a szabályzatdefinícióknak egy adott hatókörben, ha ezeket az összetevőket nem megfelelőként jelöli meg a szabályzatmegfelelőségi irányítópulton. A naplózás alapértelmezett, ha nincs házirend-effektus kijelölve.

Megtagadás: Ha egy szabályzat hatása elutasításra van állítva, a szabályzat letiltja az új összetevők, például a gyengébb kulcsok létrehozását, és letiltja a meglévő kulcsok olyan új verzióit, amelyek nem felelnek meg a szabályzatdefiníciónak. A felügyelt HSM-ben meglévő nem megfelelő erőforrásokra nincs hatással. A "naplózási" képességek továbbra is működni fognak.

Az elliptikus görbék kriptográfiáját használó kulcsoknak a megadott görbék nevével kell rendelkezniük

Ha háromliptikus görbe-titkosítási vagy ECC-kulcsokat használ, az alábbi listából testre szabhatja a görbenevek engedélyezett listáját. Az alapértelmezett beállítás lehetővé teszi az alábbi görbék nevét.

  • P-256
  • P-256K
  • P-384
  • P-521

A kulcsoknak lejárati dátumokat kell megadniuk

Ez a szabályzat naplóz minden olyan kulcsot a felügyelt HSM-ekben, és megjelöli azokat a kulcsokat, amelyek lejárati dátuma nem megfelelő. Ezzel a szabályzattal letilthatja a lejárati dátummal nem rendelkező kulcsok létrehozását.

A kulcsoknak a megadottnál több napnak kell eltelnie a lejáratig

Ha egy kulcs túl közel van a lejárathoz, a kulcs elforgatásához szükséges szervezeti késés kimaradáshoz vezethet. A kulcsokat a lejárat előtt meghatározott számú napon kell elforgatni, hogy elegendő idő legyen a hibákra való reagálásra. Ez a szabályzat a kulcsokat túl közel naplózja a lejárati dátumukhoz, és lehetővé teszi, hogy ezt a küszöbértéket napokban állítsa be. Ezzel a szabályzattal megakadályozhatja, hogy az új kulcsok túl közel legyenek a lejárati dátumukhoz.

Az RSA-kriptográfiát használó kulcsoknak meghatározott minimális kulcsmérettel kell rendelkezniük

A kisebb kulcsméretű RSA-kulcsok használata nem biztonságos tervezési gyakorlat. Előfordulhat, hogy olyan naplózási és tanúsítási szabványok vonatkoznak Önre, amelyek minimális kulcsméret használatát elő iktatják. Az alábbi szabályzat lehetővé teszi, hogy minimális kulcsméret-követelményt állítson be a felügyelt HSM-en. Olyan kulcsokat is naplózhat, amelyek nem felelnek meg ennek a minimális követelménynek. Ez a szabályzat arra is használható, hogy megakadályozza az olyan új kulcsok létrehozását, amelyek nem felelnek meg a minimális kulcsméretre vonatkozó követelménynek.

Felügyelt HSM-szabályzat engedélyezése és kezelése az Azure CLI-vel

Napi vizsgálat engedélyezése

A készlet készletkulcsainak megfelelőségének ellenőrzéséhez az ügyfélnek hozzá kell rendelnie a "Managed HSM Crypto Auditor" szerepkört az "Azure Key Vault managed HSM Key Governance Service"-hez (alkalmazásazonosító: a1b76039-a76c-499f-a2dd-846b4cc32627), hogy hozzáférhessen a kulcs metaadataihoz. Engedély megadása nélkül a leltárkulcsok nem jelennek meg az Azure Policy megfelelőségi jelentésében, csak az új kulcsokat, a frissített kulcsokat, az importált kulcsokat és az elforgatott kulcsokat ellenőrzi a rendszer. Ehhez a felügyelt HSM-hez "Felügyelt HSM-rendszergazda" szerepkörrel rendelkező felhasználóknak a következő Azure CLI-parancsokat kell futtatniuk:

Windows rendszeren:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

Másolja ki a id kinyomtatott példányt, és illessze be a következő parancsba:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

Linuxon vagy Linux windowsos alrendszeren:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Szabályzat-hozzárendelések létrehozása – naplózási és/vagy megtagadási szabályok meghatározása

A szabályzat-hozzárendelések konkrét értékeket határoznak meg a szabályzatdefiníciók paramétereihez. Az Azure Portalon lépjen a "Szabályzat" elemre, szűrjön a "Key Vault" kategóriára, és keresse meg ezt a négy előzetes verziójú kulcsszabályozási szabályzatdefiníciót. Válasszon egyet, majd válassza felül a "Hozzárendelés" gombot. Töltse ki az egyes mezőket. Ha a szabályzat-hozzárendelés kérésmegtagadásra való, használjon egyértelmű nevet a szabályzatról, mert ha egy kérés megtagadva van, a szabályzat-hozzárendelés neve megjelenik a hibában. Válassza a Tovább lehetőséget, törölje a jelet a "Csak a bemenetet vagy felülvizsgálatot igénylő paraméterek megjelenítése" jelölőnégyzetből, és adja meg a szabályzatdefiníció paramétereinek értékeit. Hagyja ki a "Szervizelés" elemet, és hozza létre a hozzárendelést. A szolgáltatásnak legfeljebb 30 perce lesz a "Megtagadás" hozzárendelések kényszerítéséhez.

  • Az Azure Key Vault felügyelt HSM-kulcsainak lejárati dátummal kell rendelkezniük
  • Az Azure Key Vault rsA-titkosítást használó felügyelt HSM-kulcsainak meg kell adni a minimális kulcsméretet
  • Az Azure Key Vault felügyelt HSM-kulcsainak a lejárat előtt a megadottnál több nappal kell rendelkezniük
  • Az Azure Key Vault háromliptikus íves titkosítást használó felügyelt HSM-kulcsainak a megadott görbenevekkel kell rendelkezniük

Ezt a műveletet az Azure CLI használatával is elvégezheti. Lásd: Szabályzat-hozzárendelés létrehozása az Azure CLI-vel nem megfelelő erőforrások azonosításához.

A beállítás tesztelése

Próbáljon meg frissíteni/létrehozni egy olyan kulcsot, amely megsérti a szabályt, ha "Megtagadás" effektusú szabályzat-hozzárendeléssel rendelkezik, az 403-at ad vissza a kérésnek. Tekintse át a naplózási szabályzat-hozzárendelések leltárkulcsainak vizsgálati eredményét. 12 óra elteltével ellenőrizze a Szabályzat megfelelőségi menüjét, szűrjön a "Key Vault" kategóriára, és keresse meg a feladatokat. Jelölje ki mindegyiket a megfelelőségi eredmény jelentésének ellenőrzéséhez.

Hibaelhárítás

Ha egy nap után nem jelennek meg a készlet megfelelőségi eredményei. Ellenőrizze, hogy a szerepkör-hozzárendelés sikeresen megtörtént-e a 2. lépésben. A 2. lépés nélkül a kulcsszabályozási szolgáltatás nem fogja tudni elérni a kulcs metaadatait. Az Azure CLI-parancs az keyvault role assignment list ellenőrizheti, hogy a szerepkör hozzá lett-e rendelve.

Következő lépések