Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Key Vault Managed HSM adalah layanan cloud yang melindungi kunci enkripsi. Karena data ini sensitif dan penting bagi bisnis Anda, Anda perlu mengamankan instans HSM Terkelola Anda dengan hanya mengizinkan aplikasi dan pengguna yang berwenang untuk mengakses data.
Artikel ini memberikan gambaran umum tentang model kontrol akses HSM Terkelola. Ini menjelaskan autentikasi dan otorisasi, dan menjelaskan cara mengamankan akses ke HSM terkelola Anda. Untuk panduan implementasi praktis, lihat Mengamankan akses ke HSM terkelola Anda.
Nota
Penyedia sumber daya Azure Key Vault mendukung dua jenis sumber daya: vault dan HSM terkelola. Kontrol akses yang dijelaskan dalam artikel ini hanya berlaku untuk HSM terkelola. Untuk mempelajari selengkapnya tentang kontrol akses untuk brankas Key Vault, lihat Menyediakan akses ke kunci, sertifikat, dan rahasia Key Vault dengan kontrol akses berbasis peran Azure.
Model kontrol akses
Akses ke HSM terkelola dikontrol melalui dua antarmuka:
- Pesawat pengendali
- Bidang data
Pada sarana kontrol, Anda mengelola HSM itu sendiri. Operasi dalam lapisan ini termasuk membuat dan menghapus HSM terkelola serta mengambil properti dari HSM terkelola.
Pada bidang data, Anda bekerja dengan data yang disimpan di HSM terkelola. Artinya, Anda bekerja dengan kunci enkripsi yang berbasis HSM. Anda dapat menambahkan, menghapus, memodifikasi, dan menggunakan kunci untuk melakukan operasi kriptografi, mengelola penetapan peran untuk mengontrol akses ke kunci, membuat cadangan HSM lengkap, memulihkan cadangan penuh, dan mengelola domain keamanan dari antarmuka data plane.
Untuk mengakses HSM terkelola di salah satu lingkup, semua pengguna harus memiliki autentikasi dan otorisasi yang tepat. Autentikasi menetapkan identitas pemanggil. Otorisasi menentukan operasi mana yang dapat dijalankan pemanggil. Pemanggil dapat menjadi salah satu prinsip keamanan yang ditentukan dalam ID Microsoft Entra: pengguna, grup, perwakilan layanan, atau identitas terkelola.
Kedua pesawat menggunakan ID Microsoft Entra untuk otentikasi. Untuk otorisasi, mereka menggunakan sistem yang berbeda:
- Sarana kontrol menggunakan kontrol akses berbasis peran Azure (Azure RBAC), sistem otorisasi yang dibangun di Azure Resource Manager.
- Bidang data menggunakan RBAC tingkat HSM yang dikelola (RBAC lokal HSM yang dikelola), sistem otorisasi yang diterapkan dan ditegakkan pada tingkat HSM yang dikelola.
Saat HSM terkelola dibuat, pemohon menyediakan daftar administrator sarana data (semua prinsip keamanan didukung). Hanya administrator ini yang dapat mengakses data plane HSM terkelola untuk melakukan operasi utama dan mengelola penetapan peran bidang data (RBAC lokal HSM Terkelola).
Model izin untuk kedua bidang menggunakan sintaks yang sama, tetapi diberlakukan pada tingkat yang berbeda, dan penetapan peran menggunakan cakupan yang berbeda. Lapisan kontrol Azure RBAC diberlakukan oleh Azure Resource Manager, dan RBAC lokal HSM terkelola lapisan data diberlakukan oleh HSM terkelola itu sendiri.
Penting
Memberikan akses sarana kontrol ke perwakilan keamanan tidak memberikan akses sarana data utama keamanan. Misalnya, perwakilan keamanan dengan akses sarana kontrol tidak secara otomatis memiliki akses ke kunci atau penetapan peran bidang data. Isolasi ini dirancang, untuk mencegah perluasan hak istimewa yang tidak disengaja yang memengaruhi akses ke kunci yang disimpan di HSM Terkelola.
Nota
Menetapkan peran seperti Managed HSM Crypto Officer atau Managed HSM Crypto Policy Administrator memberikan izin luas untuk mengelola penetapan peran, termasuk penugasan mandiri peran Administrator HSM Terkelola. Selain itu, pengguna yang merupakan anggota peran Administrator Global Entra juga memiliki kemampuan untuk menetapkan peran Administrator HSM Terkelola, bahkan jika mereka tidak secara eksplisit menetapkan peran khusus HSM.
Perilaku ini dirancang dan mendukung skenario bootstrapping dan pemulihan; namun, itu berarti peran-peran ini harus diperlakukan sebagai sangat istimewa.
Misalnya, administrator langganan (karena mereka memiliki izin Kontributor ke semua sumber daya dalam langganan) dapat menghapus HSM terkelola dalam langganan mereka. Tetapi jika mereka tidak memiliki akses bidang data yang diberikan melalui RBAC lokal pada HSM terkelola, mereka tidak dapat mengakses kunci atau mengatur peran di HSM terkelola untuk memberi diri mereka sendiri atau orang lain akses ke bidang data.
Microsoft Entra otentikasi
Saat Anda membuat HSM terkelola dalam langganan Azure, HSM terkelola tersebut secara otomatis dikaitkan dengan penyewa Microsoft Entra dari langganan tersebut. Semua pengguna di kedua lapisan harus terdaftar di tenant ini dan diautentikasi untuk mengakses HSM terkelola.
Aplikasi mengautentikasi dengan Microsoft Entra ID sebelum memanggil salah satu lapisan. Aplikasi dapat menggunakan metode autentikasi yang didukung tergantung pada jenis aplikasi. Aplikasi memperoleh token untuk sumber daya pada lapisan guna mendapatkan akses. Sumber daya adalah titik akhir di sarana kontrol atau bidang data, tergantung pada lingkungan Azure. Aplikasi ini menggunakan token dan mengirim permintaan REST API ke titik akhir HSM terkelola. Untuk mempelajari lebih lanjut, tinjau seluruh alur autentikasi.
Menggunakan mekanisme autentikasi tunggal untuk kedua bidang memiliki beberapa manfaat:
- Organisasi dapat mengontrol akses secara terpusat ke semua HSM terkelola di organisasi mereka.
- Jika pengguna meninggalkan organisasi, mereka langsung kehilangan akses ke semua HSM terkelola di organisasi.
- Organisasi dapat menyesuaikan autentikasi dengan menggunakan opsi di MICROSOFT Entra ID, seperti mengaktifkan autentikasi multifaktor untuk keamanan tambahan.
Titik akhir sumber daya
Perwakilan keamanan mengakses pesawat melalui titik akhir. Kontrol akses untuk dua plane bekerja secara mandiri. Untuk memberikan akses kepada aplikasi untuk menggunakan kunci dalam HSM terkelola, Anda memberikan akses ke bidang data dengan menggunakan RBAC lokal HSM terkelola. Untuk memberikan akses pengguna ke sumber daya HSM Terkelola untuk membuat, membaca, menghapus, memindahkan HSM terkelola dan mengedit properti dan tag lain, Anda menggunakan Azure RBAC.
Tabel berikut ini memperlihatkan titik akhir untuk sarana kontrol dan bidang data.
| Lapisan Akses | Titik akhir akses | Operations | Mekanisme kontrol akses |
|---|---|---|---|
| Pesawat pengendali |
Global:management.azure.com:443 |
Membuat, membaca, memperbarui, menghapus, dan memindahkan HSM terkelola Tetapkan tag HSM terkelola |
Azure RBAC |
| Bidang data |
Global:<hsm-name>.managedhsm.azure.net:443 |
Kunci: Dekripsi, enkripsi, membongkar, membungkus, memverifikasi, menandatangani, mendapatkan, daftar, memperbarui, membuat, mengimpor, menghapus, mencadangkan, memulihkan, membersihkan Manajemen peran lapisan data (RBAC lokal Managed HSM): Menampilkan definisi peran, menetapkan peran, menghapus penetapan peran, menentukan peran kustom Pencadangan dan pemulihan: Mencadangkan, memulihkan, memeriksa status operasi pencadangan dan pemulihan Domain keamanan: Mengunduh dan mengunggah domain keamanan |
RBAC lokal terkelola HSM |
Sarana kontrol dan Azure RBAC
Di sarana kontrol, Anda menggunakan Azure RBAC untuk mengotorisasi operasi yang dapat dijalankan pemanggil. Dalam model Azure RBAC, setiap langganan Azure memiliki instans ID Microsoft Entra. Anda memberikan akses ke pengguna, grup, dan aplikasi dari direktori ini. Akses diberikan untuk mengelola sumber daya langganan yang menggunakan model penyebaran Azure Resource Manager. Untuk memberikan akses, gunakan portal Microsoft Azure, AZURE CLI, Azure PowerShell, atau REST API Azure Resource Manager.
Anda membuat brankas kunci dalam grup sumber daya dan mengelola akses dengan menggunakan ID Microsoft Entra. Anda memberi pengguna atau grup kemampuan untuk mengelola brankas kunci dalam grup sumber daya. Anda memberikan akses pada tingkat cakupan tertentu dengan menetapkan peran Azure yang sesuai. Untuk memberikan akses ke pengguna untuk mengelola brankas kunci, Anda menetapkan peran yang telah key vault Contributor ditentukan sebelumnya kepada pengguna pada cakupan tertentu. Tingkat cakupan berikut dapat ditetapkan ke peran Azure:
- Grup manajemen: Peran Azure yang ditetapkan di tingkat langganan berlaku untuk semua langganan dalam grup manajemen tersebut.
- Langganan: Peran Azure yang ditetapkan di tingkat langganan berlaku untuk semua grup sumber daya dan sumber daya dalam langganan tersebut.
- Grup sumber daya: Peran Azure yang ditetapkan di tingkat grup sumber daya berlaku untuk semua sumber daya dalam grup sumber daya tersebut.
- Sumber daya tertentu: Peran Azure yang ditetapkan untuk sumber daya tertentu berlaku untuk sumber daya tersebut. Dalam hal ini, sumber daya adalah brankas kunci tertentu.
Beberapa peran telah ditentukan sebelumnya. Jika peran yang telah ditentukan sebelumnya tidak sesuai dengan kebutuhan Anda, Anda dapat menentukan peran Anda sendiri. Untuk informasi selengkapnya, lihat Azure RBAC: Peran bawaan.
Bidang data dan RBAC lokal HSM Terkelola
Anda memberikan akses utama keamanan untuk menjalankan operasi kunci tertentu dengan menetapkan peran. Untuk setiap penetapan peran, Anda harus menentukan peran dan cakupan di mana penetapan tersebut berlaku. Untuk RBAC lokal pada HSM yang dikelola, dua cakupan tersedia.
-
/atau/keys: Cakupan tingkat HSM. Entitas keamanan yang diberi peran pada cakupan ini bisa melakukan operasi yang ditentukan dalam peran untuk semua objek (kunci) di HSM terkelola. -
/keys/<key-name>: Cakupan tingkat kunci. Prinsip keamanan yang diberi peran pada cakupan ini dapat melakukan operasi yang ditentukan dalam peran ini untuk semua versi kunci yang ditentukan saja.
RBAC lokal HSM terkelola memiliki beberapa peran bawaan untuk mengatasi skenario kontrol akses yang berbeda. Untuk daftar lengkap peran dan izin, lihat Peran bawaan RBAC lokal untuk Managed HSM.
Microsoft Entra Privileged Identity Management (PIM)
Untuk meningkatkan keamanan peran administratif, gunakan Microsoft Entra Privileged Identity Management (PIM). PIM memungkinkan akses just-in-time, mengurangi risiko hak istimewa administratif yang permanen. Ini juga memberikan visibilitas terhadap penetapan peran dan memberlakukan alur kerja persetujuan untuk akses yang meningkat.
Pemisahan tugas dan kontrol akses
Ini adalah praktik terbaik keamanan untuk memisahkan tugas di antara peran tim dan hanya memberikan akses minimum yang diperlukan untuk fungsi pekerjaan tertentu. Prinsip ini membantu mencegah akses yang tidak sah dan membatasi dampak potensial dari tindakan yang tidak disengaja atau berbahaya.
Saat menerapkan kontrol akses untuk HSM Terkelola, pertimbangkan untuk membuat peran fungsional umum ini:
- Tim keamanan: Memerlukan izin untuk mengelola HSM, mengontrol siklus hidup kunci, dan mengonfigurasi pengaturan kontrol akses.
- Pengembang aplikasi: Membutuhkan referensi ke kunci tanpa memerlukan akses langsung ke HSM.
- Layanan/kode: Memerlukan izin untuk melakukan operasi enkripsi tertentu sambil dibatasi dari fungsi manajemen kunci yang lebih luas.
- Auditor: Memerlukan kemampuan pemantauan dan akses log tanpa izin untuk memodifikasi pengaturan atau kunci HSM.
Peran konseptual ini masing-masing harus diberikan hanya izin khusus yang diperlukan untuk melakukan tanggung jawab mereka. Implementasi pemisahan tugas memerlukan penetapan peran pada lapisan kontrol (Azure RBAC) dan lapisan data (RBAC lokal Managed HSM).
Untuk tutorial terperinci tentang menerapkan pemisahan tugas dengan contoh tertentu dan perintah Azure CLI, lihat Mengamankan akses ke HSM terkelola Anda.
Langkah selanjutnya
- Untuk tutorial pengenalan untuk administrator, lihat Apa itu HSM Terkelola?.
- Untuk informasi lebih lanjut tentang pengelolaan peran, lihat RBAC lokal HSM Terkelola.
- Untuk informasi selengkapnya tentang pengelogan penggunaan untuk HSM Terkelola, lihat Pengelogan HSM Terkelola.
- Untuk panduan implementasi praktis tentang kontrol akses, lihat Mengamankan akses ke HSM terkelola Anda.