Mengintegrasikan Azure Managed HSM dengan Azure Policy

  • Artikel

Azure Policy adalah alat tata kelola yang memberi pengguna kemampuan untuk mengaudit dan mengelola lingkungan Azure mereka dalam skala besar. Azure Policy menyediakan kemampuan untuk menempatkan pagar pembatas pada sumber daya Azure untuk memastikan mereka mematuhi aturan kebijakan yang ditetapkan. Ini memungkinkan pengguna untuk melakukan audit, penegakan real time, dan remediasi lingkungan Azure mereka. Hasil audit yang dilakukan oleh kebijakan akan tersedia untuk pengguna di dasbor kepatuhan di mana mereka akan dapat melihat penelusuran paling detail sumber daya dan komponen mana yang sesuai dan mana yang tidak. Untuk informasi selengkapnya, lihat Gambaran Umum layanan Azure Policy.

Contoh Skenario Penggunaan:

  • Saat ini Anda tidak memiliki solusi untuk melakukan audit di seluruh organisasi Anda, atau Anda sedang melakukan audit manual terhadap lingkungan Anda dengan meminta tim individual dalam organisasi Anda untuk melaporkan kepatuhan mereka. Anda mencari cara untuk mengotomatiskan tugas ini, melakukan audit secara real time, dan menjamin keakuratan audit.
  • Anda ingin memberlakukan kebijakan keamanan perusahaan Anda dan menghentikan individu membuat kunci kriptografi tertentu, tetapi Anda tidak memiliki cara otomatis untuk memblokir pembuatannya.
  • Anda ingin melonggarkan beberapa persyaratan untuk tim uji Anda, tetapi Anda ingin mempertahankan kontrol ketat atas lingkungan produksi Anda. Anda memerlukan cara otomatis sederhana untuk memisahkan penegakan sumber daya Anda.
  • Anda ingin memastikan bahwa Anda dapat mengembalikan penegakan kebijakan baru jika ada masalah situs langsung. Anda memerlukan solusi satu klik untuk menonaktifkan penegakan kebijakan.
  • Anda mengandalkan solusi pihak ketiga untuk mengaudit lingkungan Anda dan Anda ingin menggunakan penawaran internal Microsoft.

Jenis efek dan panduan kebijakan

Audit: Ketika efek kebijakan diatur ke audit, kebijakan tidak akan menyebabkan perubahan yang melanggar lingkungan Anda. Ini hanya akan memperingatkan Anda kepada komponen seperti kunci yang tidak mematuhi definisi kebijakan dalam cakupan tertentu, dengan menandai komponen ini sebagai tidak patuh di dasbor kepatuhan kebijakan. Audit adalah default jika tidak ada efek kebijakan yang dipilih.

Tolak: Ketika efek kebijakan diatur ke tolak, kebijakan akan memblokir pembuatan komponen baru seperti kunci yang lebih lemah, dan akan memblokir versi baru kunci yang ada yang tidak mematuhi definisi kebijakan. Sumber daya yang tidak sesuai yang ada dalam HSM Terkelola tidak terpengaruh. Kemampuan 'audit' akan terus beroperasi.

Kunci yang menggunakan kriptografi kurva eliptik harus memiliki nama kurva yang ditentukan

Jika Anda menggunakan kriptografi kurva elips atau kunci ECC, Anda dapat menyesuaikan daftar nama kurva yang diizinkan dari daftar di bawah ini. Opsi default mengizinkan semua nama kurva berikut.

  • P-256
  • P-256K
  • P-384
  • P-521

Kunci harus memiliki tanggal kedaluwarsa yang ditetapkan

Kebijakan ini mengaudit semua kunci di HSM Terkelola anda dan menandai kunci yang tidak memiliki tanggal kedaluwarsa yang ditetapkan sebagai tidak patuh. Anda juga dapat menggunakan kebijakan ini untuk memblokir pembuatan kunci yang tidak memiliki tanggal kedaluwarsa yang ditetapkan.

Kunci harus memiliki lebih dari jumlah hari sebelum kedaluwarsa yang ditentukan

Jika kunci terlalu dekat dengan kedaluwarsa, penundaan organisasi untuk memutar kunci dapat mengakibatkan ketidaktersediaan. Kunci harus diputar pada jumlah hari yang ditentukan sebelum kedaluwarsa untuk memberikan waktu yang cukup untuk bereaksi terhadap kegagalan. Kebijakan ini akan mengaudit kunci terlalu dekat dengan tanggal kedaluwarsanya dan memungkinkan Anda untuk menetapkan ambang ini dalam beberapa hari. Anda juga dapat menggunakan kebijakan ini untuk mencegah pembuatan kunci baru terlalu dekat dengan tanggal kedaluwarsanya.

Kunci yang menggunakan kriptografi RSA harus memiliki ukuran kunci minimum yang ditentukan

Menggunakan kunci RSA dengan ukuran kunci yang lebih kecil bukanlah praktik desain yang aman. Anda dapat tunduk pada standar audit dan sertifikasi yang mengamanatkan penggunaan ukuran kunci minimum. Kebijakan berikut memungkinkan Anda menetapkan persyaratan ukuran kunci minimum pada HSM Terkelola Anda. Anda dapat mengaudit kunci yang tidak memenuhi persyaratan minimum ini. Kebijakan ini juga dapat digunakan untuk memblokir pembuatan kunci baru yang tidak memenuhi persyaratan ukuran kunci minimum.

Mengaktifkan dan mengelola kebijakan HSM Terkelola melalui Azure CLI

Memberikan izin untuk memindai setiap hari

Untuk memeriksa kepatuhan kunci inventarisasi kumpulan, pelanggan harus menetapkan peran "Auditor Kripto HSM Terkelola" ke "Azure Key Vault Managed HSM Key Governance Service"(ID Aplikasi: a1b76039-a76c-499f-a2dd-846b4cc32627) sehingga dapat mengakses metadata kunci. Tanpa pemberian izin, kunci inventori tidak akan dilaporkan pada laporan kepatuhan Azure Policy, hanya kunci baru, kunci yang diperbarui, kunci yang diimpor, dan kunci yang diputar yang akan diperiksa kepatuhannya. Untuk melakukannya, pengguna yang memiliki peran "Administrator HSM Terkelola" ke HSM Terkelola perlu menjalankan perintah Azure CLI berikut:

Pada jendela:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

Salin yang id dicetak, tempelkan dalam perintah berikut:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

Di Subsistem Linux atau Windows Linux:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Membuat penetapan kebijakan - menentukan aturan audit dan/atau tolak

Penetapan kebijakan memiliki nilai konkret yang ditentukan untuk parameter definisi kebijakan. Dalam portal Azure, buka "Kebijakan", filter pada kategori "Key Vault", temukan empat definisi kebijakan tata kelola utama pratinjau ini. Pilih salah satu, lalu pilih tombol "Tetapkan" di atas. Isi setiap bidang. Jika penetapan kebijakan adalah untuk penolakan permintaan, gunakan nama yang jelas tentang kebijakan karena, ketika permintaan ditolak, nama penetapan kebijakan akan muncul dalam kesalahan. Pilih Berikutnya, hapus centang "Hanya tampilkan parameter yang memerlukan input atau tinjauan", dan masukkan nilai untuk parameter definisi kebijakan. Lewati "Remediasi", dan buat tugas. Layanan ini akan membutuhkan waktu hingga 30 menit untuk memberlakukan penugasan "Tolak".

  • Kunci Azure Key Vault Managed HSM harus memiliki tanggal kedaluwarsa
  • Kunci Azure Key Vault Managed HSM menggunakan kriptografi RSA harus memiliki ukuran kunci minimum yang ditentukan
  • Kunci HSM Terkelola Azure Key Vault harus memiliki lebih dari jumlah hari yang ditentukan sebelum kedaluwarsa
  • Kunci HSM Terkelola Azure Key Vault menggunakan kriptografi kurva elips harus memiliki nama kurva yang ditentukan

Anda juga dapat melakukan operasi ini menggunakan Azure CLI. Lihat Membuat penetapan kebijakan untuk mengidentifikasi sumber daya yang tidak sesuai dengan Azure CLI.

Menguji aplikasi Anda

Cobalah untuk memperbarui/membuat kunci yang melanggar aturan, jika Anda memiliki penetapan kebijakan dengan efek "Tolak", kunci tersebut akan mengembalikan 403 ke permintaan Anda. Tinjau hasil pemindaian kunci inventori dari penetapan kebijakan audit. Setelah 12 jam, periksa menu Kepatuhan Kebijakan, filter kategori "Key Vault", dan temukan tugas Anda. Pilih masing-masing, untuk memeriksa laporan hasil kepatuhan.

Pemecahan Masalah

Jika tidak ada hasil kepatuhan kumpulan setelah satu hari. Periksa apakah penetapan peran telah berhasil dilakukan pada langkah 2. Tanpa Langkah 2, layanan tata kelola utama tidak akan dapat mengakses metadata kunci. Perintah Azure CLI az keyvault role assignment list dapat memverifikasi apakah peran telah ditetapkan.

Langkah berikutnya