Бөлісу құралы:

Интеграция управляемого устройства HSM Azure с Политика Azure

  • Мақала

Политика Azure — это средство управления, которое дает пользователям возможность выполнять аудит и управлять средой Azure в нужном масштабе. Политика Azure предоставляет возможность размещать охранники в ресурсах Azure, чтобы обеспечить соответствие назначенным правилам политики. Она позволяет пользователям выполнять аудит, принудительное применение в режиме реального времени и исправление среды Azure. Результаты аудита, выполненные политикой, будут доступны пользователям на панели мониторинга соответствия требованиям, где они смогут увидеть детализацию, из которой соответствующие ресурсы и компоненты не соответствуют требованиям. Дополнительные сведения см. в статье Обзор службы "Политика Azure"

Примеры сценариев использования:

  • В настоящее время у вас нет решения для проведения аудита в вашей организации, разве что можете выполнить аудит вручную, задавая индивидуальным командам в организации отчет о соответствии. Вы ищете способ автоматизировать эту задачу, выполнять аудиты в режиме реального времени и гарантировать точность аудита.
  • Вы хотите применить политики безопасности компании и запретить пользователям создавать определенные криптографические ключи, но у вас нет автоматического способа заблокировать их создание.
  • Вы хотите смягчить некоторые требования к командам, проводящим тестирования, но при этом хотите сохранить жесткий контроль над своей производственной средой. Вам необходим простой автоматизированный способ разделения ограничений на ресурсы.
  • Вы хотите убедиться, что вы можете откатить применение новых политик, если возникла проблема с динамическим сайтом. Вам нужно решение для отключения принудительного применения политики одним щелчком.
  • Вы используете стороннее решение для аудита среды и хотите использовать внутреннее предложение Майкрософт.

Типы действий и руководств политики

Аудит. Если для политики задано значение "аудит", то политика не приведет к критическим изменениям в среде. Он будет оповещать вас только о компонентах, таких как ключи, которые не соответствуют определениям политик в указанной области, помечая эти компоненты как не соответствующие требованиям на панели мониторинга соответствия политике. Если влияния политики не выбрано, аудит выполняется по умолчанию.

Запрет. Если для политики задано значение "Запрет", политика блокирует создание новых компонентов, таких как более слабые ключи, и блокирует новые версии существующих ключей, которые не соответствуют определению политики. Существующие несоответствующие ресурсы в управляемом HSM не затрагиваются. Возможности "аудит" будут продолжать функционировать.

У ключей, использующих шифрование на основе эллиптических кривых, должны быть указаны имена кривых

Если вы используете шифрование на основе эллиптических кривых или ключи ECC, вы можете настроить список разрешенных имен эллиптических кривых из списка ниже. Параметр по умолчанию позволяет выполнять все указанные ниже имена кривых.

  • P-256
  • P-256K
  • P-384
  • P-521

Для ключей должны быть заданы даты истечения срока действия

Эта политика проверяет все ключи в управляемых HSM и флагах ключей, которые не имеют даты окончания срока действия, установленной как несовместимые. Эта политика также позволяет блокировать создание ключей, для которых не задана дата окончания срока действия.

Ключи должны иметь больше указанного числа дней до истечения срока действия

Если ключ слишком близок к истечению срока действия и организация не выполнит его смену своевременно, работа служб может остановиться. Ключи необходимо сменять не позднее указанного числа дней до истечения срока действия, чтобы обеспечить достаточное время для реагирования на сбой. Эта политика будет проверять ключи слишком близко к дате окончания срока действия и позволяет задать это пороговое значение в днях. Вы также можете использовать эту политику, чтобы предотвратить создание новых ключей слишком близко к дате окончания срока действия.

Для ключей, использующих шифрование RSA, должен быть указан минимальный размер ключа

Использование ключей RSA с малым размером считается небезопасной практикой при проектировании систем. Возможно, для вас действуют стандарты аудита и сертификации, определяющие минимально допустимый размер используемых ключей. Следующая политика позволяет задать минимальное требование к размеру ключа в управляемом HSM. Вы можете выполнять аудит ключей, которые не соответствуют этим минимальным требованиям. Эта политика также позволяет блокировать создание новых ключей, которые не соответствуют требованиям к минимальному размеру ключа.

Включение и управление политикой управляемого HSM с помощью Azure CLI

Предоставление разрешения на проверку ежедневно

Чтобы проверить соответствие ключей инвентаризации пула, клиент должен назначить роль "Управляемый криптозритель HSM" службе управления ключами управляемого HSM в Azure Key Vault(идентификатор приложения: a1b76039-a76c-499f-a2dd-846b4cc32627), чтобы получить доступ к метаданным ключа. Без предоставления разрешения ключи инвентаризации не будут сообщаться в отчете о соответствии Политика Azure, будут проверяться только новые ключи, обновленные ключи, импортированные ключи и сменные ключи. Для этого пользователю с ролью "Управляемый администратор HSM" управляемому модулю HSM необходимо выполнить следующие команды Azure CLI:

В окнах:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

Скопируйте печатный id файл, вставьте его в следующую команду:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

В linux или подсистеме Windows Linux:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Создание назначений политик — определение правил аудита и /или запрета

Назначения политик имеют конкретные значения, определенные для параметров определений политик. В портал Azure перейдите в раздел "Политика", отфильтруйте категорию Key Vault, найдите эти четыре определения политики управления ключами предварительной версии. Выберите его, а затем нажмите кнопку "Назначить" сверху. Заполните каждое поле. Если назначение политики предназначено для отказов в запросе, используйте четкое имя политики, так как при отклонении запроса имя назначения политики появится в ошибке. Нажмите кнопку "Далее" снимите флажок "Показать только параметры, необходимые для ввода или проверки", и введите значения для параметров определения политики. Пропустите "Исправление" и создайте назначение. Службе потребуется до 30 минут для принудительного применения назначений "Запретить".

  • Управляемые ключи HSM в Azure Key Vault должны иметь дату окончания срока действия
  • Управляемые ключи HSM в Azure Key Vault с помощью шифрования RSA должны иметь указанный минимальный размер ключа
  • Управляемые ключи HSM в Azure Key Vault должны иметь больше указанного числа дней до истечения срока действия.
  • Управляемые ключи HSM в Azure Key Vault с помощью криптографии с многоточием кривых должны иметь указанные имена кривых

Вы также можете выполнить эту операцию с помощью Azure CLI. См. статью "Создание назначения политики", чтобы определить несоответствующие ресурсы с помощью Azure CLI.

Тестирование конфигурации

Попробуйте обновить или создать ключ, который нарушает правило, если у вас есть назначение политики с эффектом "Запретить", он вернет 403 в запрос. Просмотрите результат проверки ключей инвентаризации назначений политик аудита. Через 12 часов проверьте меню соответствия политике, отфильтруйте категорию "Key Vault" и найдите свои назначения. Выберите каждый из них, чтобы проверить отчет о результатах соответствия.

Устранение неполадок

Если нет результатов соответствия пула через один день. Проверьте, успешно ли было выполнено назначение роли на шаге 2. Без шага 2 служба управления ключами не сможет получить доступ к метаданным ключа. Команда Azure CLI az keyvault role assignment list может проверить, назначена ли роль.

Next Steps