Chiavi gestite dal cliente (CMK) per Microsoft Foundry

Annotazioni

Questo documento fa riferimento al portale di Microsoft Foundry (versione classica).

🔄 Passa alla nuova documentazione di Microsoft Foundry se si usa il nuovo portale.

Suggerimento

È disponibile un articolo di CMK incentrato sull'hub alternativo: Chiavi gestite dal cliente per i progetti hub.

La crittografia della chiave gestita dal cliente (CMK) in Microsoft Foundry offre il controllo sulla crittografia dei dati. Usare i cmk per aggiungere un livello di protezione aggiuntivo e soddisfare i requisiti di conformità con l'integrazione di Azure Key Vault.

Microsoft Foundry offre funzionalità di crittografia affidabili, inclusa la possibilità di usare chiavi gestite dal cliente archiviate in Azure Key Vault per proteggere i dati sensibili. Questo articolo illustra il concetto di crittografia con i cmk e fornisce istruzioni dettagliate per la configurazione della chiave gestita tramite Azure Key Vault. Vengono inoltre illustrati i modelli di crittografia e i metodi di controllo degli accessi, ad esempio il Controllo degli accessi in base al ruolo di Azure (RBAC) e i criteri di accesso della cassaforte, garantendo la compatibilità con le identità gestite assegnate dal sistema. Il supporto per le identità gestite assegnate dall'utente (UAI) è attualmente disponibile solo tramite modelli Bicep.

Perché usare chiavi gestite dal cliente?

Con CMK, si ottiene il controllo completo sulle chiavi di crittografia, offrendo una protezione avanzata per i dati sensibili e aiutando a soddisfare i requisiti di conformità. I vantaggi principali dell'uso dei cmk includono:

• Uso delle proprie chiavi per crittografare i dati a riposo.

• Integrazione con i criteri di sicurezza e conformità dell'organizzazione.

• Possibilità di ruotare o revocare le chiavi per un controllo avanzato sull'accesso ai dati crittografati.

Microsoft Foundry supporta la crittografia con i cmk archiviati in Azure Key Vault, sfruttando le funzionalità di sicurezza leader del settore.

Prerequisiti

Per configurare cmk per Microsoft Foundry, verificare che siano soddisfatti i prerequisiti seguenti:

1. Sottoscrizione di Azure:
   È necessaria una sottoscrizione di Azure attiva per creare e gestire le risorse di Azure.

2. Azure Key Vault:

   • È necessario un Azure Key Vault esistente per archiviare le chiavi.
   • È necessario distribuire il servizio di gestione delle chiavi e la risorsa Microsoft Foundry nella stessa regione di Azure.
   • Seguire questa guida per creare un insieme di credenziali delle chiavi : Avvio rapido: Creare un insieme di credenziali delle chiavi usando il portale di Azure.

3. Configurazione dell'identità gestita:

   • Identità gestita assegnata dal sistema: assicurarsi che la risorsa Microsoft Foundry abbia abilitato un'identità gestita assegnata dal sistema.
   • Identità gestita assegnata dall'utente: Il supporto per le UAI è attualmente disponibile solo tramite modelli Bicep. Fare riferimento all'esempio di modello Bicep: Repository GitHub: Chiavi gestite dal cliente con identità assegnata dall'utente.

4. Autorizzazioni di Key Vault:

   • Se si utilizza Azure RBAC, assegnare il ruolo Key Vault Crypto User all'identità gestita.
   • Se si usano i criteri di accesso di Vault, concedere autorizzazioni specifiche della chiave all'identità gestita, ad esempio unwrap key e wrap key.

Nota sulla disponibilità a livello di area (UAI per CMK)

Il supporto per le chiavi gestite dal cliente (CMK) con Identità gestite assegnate dall'utente (UAI) è attualmente disponibile in tutte le aree di Azure, ad eccezione delle aree seguenti:

• Stati Uniti:
  westus, centralus, southcentralus, westus2
• Europa:
  westeurope, ukwest, svizzerawest, germaniacentro-occidentale, francecentral, danimarcaorientale, poloniacentrale, svezia centrale, norvegia orientale
• Asia-Pacifico:
  taiwan nord-ovest, australasia (australia est, nuova zelanda nord), sud-est asiatico, giappone est, corea centrale, indonesia centrale, malesia ovest, india centrale
• Medio Oriente:
  israelcentral, qatarcentral
• Africa:
  Sudafrica Nord
• Canada:
  Canada Orientale
• America Latina:
  messicocentral
• Azure Cina:
  Cina orientale, Cina orientale 2, Cina settentrionale, Cina settentrionale 2

• Azure US Government:
  Governo degli Stati Uniti Virginia, Governo degli Stati Uniti Arizona, Governo degli Stati Uniti Texas, Governo degli Stati Uniti Iowa

Prima di configurare cmk con UAI, assicurarsi di distribuire le risorse in un'area supportata. Per altre informazioni sul supporto a livello di area per le funzionalità di Microsoft Foundry, vedere Disponibilità delle funzionalità di Microsoft Foundry nelle aree cloud .

Passaggi per configurare il CMK

Passaggio 1: Creare o importare una chiave in Azure Key Vault

È possibile archiviare le chiavi gestite dal cliente (CGC) in Azure Key Vault. È possibile generare una nuova chiave all'interno del Key Vault o importare una chiave esistente. Seguire la procedura descritta nelle sezioni seguenti:

Generare una chiave

1. Vai a Azure Key Vault nel portale di Azure.

2. In Impostazioni selezionare Chiavi.

3. Selezionare + Genera/Importa.

4. Immettere un nome di chiave, scegliere il tipo di chiave (ad esempio RSA o HSM supportato) e configurare le dimensioni della chiave e i dettagli di scadenza.

5. Selezionare Crea per salvare la nuova chiave.

   Per altre informazioni, vedere Creare e gestire chiavi in Azure Key Vault.

Importare una chiave

1. Vai alla sezione Chiavi nel tuo insieme di credenziali.
2. Selezionare + Genera/Importa e scegliere l'opzione Importa .
3. Caricare il materiale della chiave e specificare i dettagli di configurazione della chiave necessari.
4. Seguire le istruzioni per completare il processo di importazione.

Passaggio 2. Concedere le autorizzazioni di Key Vault alle identità gestite

Configurare le autorizzazioni appropriate per l'identità gestita assegnata dal sistema o assegnata dall'utente per accedere al Key Vault.

Identità gestita assegnata dal sistema

1. Vai al Key Vault nel portale di Azure.
2. Seleziona Controllo di accesso (IAM).
3. Selezionare + Aggiungi assegnazione di ruolo.
4. Assegnare il ruolo Utente crittografia Key Vault all'identità gestita assegnata dal sistema della risorsa Microsoft Foundry.

Identità gestita assegnata dall'utente

Annotazioni

Fare riferimento a Repository di GitHub: Chiavi gestite dl cliente con identità assegnata dall'utente.

1. Usare i modelli Bicep forniti per distribuire un'identità assegnata dall'utente e configurare le autorizzazioni di Key Vault.

2. Dopo la distribuzione, verificare che l'identità assegnata dall'utente abbia ruoli appropriati , ad esempio Key Vault Crypto Officer, o autorizzazioni per Key Vault.

Passaggio 3. Abilitare cmk in Microsoft Foundry

1. Aprire la risorsa Microsoft Foundry nel portale di Azure.
2. Passare alla sezione Impostazioni di crittografia .
3. Selezionare Chiavi gestite dal cliente come tipo di crittografia.
4. Immettere l'URL del Key Vault e il nome della chiave.
5. Se utilizzi Identità Gestita Assegnata dall'Utente, assicurati che la distribuzione tramite i modelli Bicep sia completa, poiché l'identità e le autorizzazioni associate sono già configurate.

Progettazione dell'accesso a Key Vault: RBAC di Azure vs. Criteri di accesso di Vault

Azure Key Vault supporta due modelli per la gestione delle autorizzazioni di accesso:

1. Controllo degli accessi in base al ruolo di Azure (opzione consigliata):
   • Fornisce il controllo di accesso centralizzato usando i ruoli di Azure AD.
   • Semplifica la gestione delle autorizzazioni per le risorse in Azure.
   • Usare il ruolo Crypto User di Key Vault.
2. Criteri di accesso al vault:
   • Consente un controllo di accesso granulare specifico per le risorse di Key Vault.
   • Adatto per le configurazioni in cui sono necessarie impostazioni di autorizzazione legacy o isolate.

Scegliere il modello allineato ai requisiti dell'organizzazione.

Monitoraggio e rotazione delle chiavi

Per mantenere la sicurezza e la conformità ottimali, implementare le procedure seguenti:

1. Abilitare la diagnostica di Key Vault:
   Monitorare l'utilizzo delle chiavi e l'attività di accesso abilitando la registrazione diagnostica in Monitoraggio di Azure o Log Analytics.
2. Ruotare le chiavi regolarmente:
   Creare periodicamente una nuova versione della chiave in Azure Key Vault.
   Aggiornare la risorsa Microsoft Foundry per fare riferimento alla versione della chiave più recente nelle impostazioni di crittografia.

Contenuti correlati

• Documentazione su Azure Key Vault
• Esempio di GitHub Bicep: chiavi gestite dal cliente con UAI
• Panoramica delle identità gestite di Azure