Udostępnij za pośrednictwem

Integrowanie zarządzanego modułu HSM platformy Azure z usługą Azure Policy

  • Artykuł

Azure Policy to narzędzie do zapewniania ładu, które umożliwia użytkownikom przeprowadzanie inspekcji środowiska platformy Azure i zarządzanie nim na dużą skalę. Usługa Azure Policy umożliwia umieszczanie barier zabezpieczających w zasobach platformy Azure w celu zapewnienia ich zgodności z przypisanymi regułami zasad. Umożliwia to użytkownikom przeprowadzanie inspekcji, wymuszanie w czasie rzeczywistym i korygowanie środowiska platformy Azure. Wyniki inspekcji wykonywanych przez zasady będą dostępne dla użytkowników na pulpicie nawigacyjnym zgodności, w którym będą mogli zobaczyć przechodzenie do szczegółów, które zasoby i składniki są zgodne i które nie są. Aby uzyskać więcej informacji, zobacz Omówienie planów usługi Azure.

Kilka przykładowych scenariuszy użycia:

  • Obecnie nie masz rozwiązania do przeprowadzania inspekcji w całej organizacji lub przeprowadzasz ręczne inspekcje środowiska, prosząc poszczególne zespoły w organizacji o zgłaszanie zgodności. Szukasz sposobu automatyzowania tego zadania, przeprowadzania inspekcji w czasie rzeczywistym i zagwarantowania dokładności inspekcji.
  • Chcesz wymusić zasady zabezpieczeń firmy i uniemożliwić osobom tworzenie określonych kluczy kryptograficznych, ale nie masz zautomatyzowanego sposobu blokowania ich tworzenia.
  • Chcesz złagodzić pewne wymagania dla zespołów testowych, ale chcesz zachować ścisłą kontrolę nad środowiskiem produkcyjnym. Potrzebujesz prostego zautomatyzowanego sposobu oddzielenia wymuszania zasobów.
  • Chcesz mieć pewność, że możesz wycofać wymuszanie nowych zasad, jeśli występuje problem z witryną na żywo. Aby wyłączyć wymuszanie zasad, potrzebne jest jedno kliknięcie.
  • Korzystasz z rozwiązania innej firmy do przeprowadzania inspekcji środowiska i chcesz użyć wewnętrznej oferty firmy Microsoft.

Typy efektów i wskazówek dotyczących zasad

Inspekcja: Gdy efekt zasad zostanie ustawiony na inspekcję, zasady nie spowodują żadnych zmian powodujących niezgodność w środowisku. Spowoduje to alert tylko dla składników, takich jak klucze, które nie są zgodne z definicjami zasad w określonym zakresie, oznaczając te składniki jako niezgodne na pulpicie nawigacyjnym zgodności zasad. Inspekcja jest domyślna, jeśli nie wybrano żadnego efektu zasad.

Odmów: gdy efekt zasad zostanie ustawiony na odmowę, zasady zablokują tworzenie nowych składników, takich jak słabsze klucze, i zablokuje nowe wersje istniejących kluczy, które nie są zgodne z definicją zasad. Nie ma to wpływu na istniejące niezgodne zasoby w zarządzanym module HSM. Możliwości "inspekcji" będą nadal działać.

Klucze używające kryptografii opartej na krzywej eliptycznej powinny mieć określone nazwy krzywej

Jeśli używasz kryptografii krzywej eliptycznej lub kluczy ECC, możesz dostosować listę dozwolonych nazw krzywych z poniższej listy. Opcja domyślna zezwala na wszystkie następujące nazwy krzywych.

  • P-256
  • P-256K
  • P-384
  • P-521

Klucze powinny mieć ustawione daty wygaśnięcia

Te zasady przeprowadzają inspekcję wszystkich kluczy w zarządzanych modułach HSM i flagach kluczy, które nie mają ustawionej daty wygaśnięcia jako niezgodnej. Możesz również użyć tych zasad, aby zablokować tworzenie kluczy, które nie mają ustawionej daty wygaśnięcia.

Klucze powinny mieć większą niż określona liczbę dni przed wygaśnięciem

Jeśli klucz jest zbyt blisko wygaśnięcia, opóźnienie organizacji w celu rotacji klucza może spowodować awarię. Klucze powinny być obracane o określonej liczbie dni przed wygaśnięciem, aby zapewnić wystarczający czas reakcji na awarię. Te zasady przeprowadź inspekcję kluczy zbyt blisko daty wygaśnięcia i umożliwią ustawienie tego progu w dniach. Możesz również użyć tych zasad, aby zapobiec tworzeniu nowych kluczy zbyt blisko daty wygaśnięcia.

Klucze korzystające z kryptografii RSA powinny mieć określony minimalny rozmiar klucza

Używanie kluczy RSA o mniejszych rozmiarach kluczy nie jest bezpieczną praktyką projektową. Możesz podlegać standardom inspekcji i certyfikacji, które nakazują korzystanie z minimalnego rozmiaru klucza. Poniższe zasady umożliwiają ustawienie minimalnego wymagania dotyczącego rozmiaru klucza zarządzanego modułu HSM. Klucze inspekcji, które nie spełniają tego minimalnego wymagania. Te zasady mogą również służyć do blokowania tworzenia nowych kluczy, które nie spełniają wymagań dotyczących minimalnego rozmiaru klucza.

Włączanie zasad zarządzanego modułu HSM i zarządzanie nimi za pomocą interfejsu wiersza polecenia platformy Azure

Udzielanie uprawnień do codziennego skanowania

Aby sprawdzić zgodność kluczy spisu puli, klient musi przypisać rolę "Managed HSM Crypto Auditor" do "Azure Key Vault Managed HSM Key Governance Service" (Identyfikator aplikacji: a1b76039-a76c-499f-a2dd-846b4cc32627), aby mógł uzyskać dostęp do metadanych klucza. Bez udzielenia uprawnień klucze spisu nie będą raportowane w raporcie zgodności usługi Azure Policy, tylko nowe klucze, zaktualizowane klucze, zaimportowane klucze i obrócone klucze zostaną sprawdzone pod kątem zgodności. W tym celu użytkownik mający rolę "Administrator zarządzanego modułu HSM" do zarządzanego modułu HSM musi uruchomić następujące polecenia interfejsu wiersza polecenia platformy Azure:

W oknach:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

id Skopiuj wydrukowany kod, wklej go w następującym poleceniu:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

W systemie Linux lub Podsystemie Windows systemu Linux:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Tworzenie przypisań zasad — definiowanie reguł inspekcji i/lub odmowy

Przypisania zasad mają konkretne wartości zdefiniowane dla parametrów definicji zasad. W witrynie Azure Portal przejdź do pozycji "Zasady", odfiltruj kategorię "Key Vault", znajdź te cztery definicje zasad zarządzania kluczami w wersji zapoznawczej. Wybierz jeden, a następnie wybierz przycisk "Przypisz" u góry. Wypełnij każde pole. Jeśli przypisanie zasad dotyczy odmowy żądania, użyj jasnej nazwy zasad, ponieważ po odmowie żądania nazwa przypisania zasad pojawi się w błędzie. Wybierz pozycję Dalej, usuń zaznaczenie pola wyboru "Pokaż tylko parametry, które wymagają wprowadzania danych wejściowych lub przeglądu", i wprowadź wartości parametrów definicji zasad. Pomiń "Korygowanie" i utwórz przypisanie. Usługa będzie potrzebować do 30 minut, aby wymusić przypisania "Odmów".

  • Klucze zarządzanego modułu HSM usługi Azure Key Vault powinny mieć datę wygaśnięcia
  • Klucze zarządzanego modułu HSM usługi Azure Key Vault przy użyciu kryptografii RSA powinny mieć określony minimalny rozmiar klucza
  • Klucze zarządzanego modułu HSM usługi Azure Key Vault powinny mieć więcej niż określoną liczbę dni przed wygaśnięciem
  • Klucze zarządzanego modułu HSM usługi Azure Key Vault korzystające z kryptografii krzywej wielokroptycznej powinny mieć określone nazwy krzywej

Możesz również wykonać tę operację przy użyciu interfejsu wiersza polecenia platformy Azure. Zobacz Tworzenie przypisania zasad, aby zidentyfikować niezgodne zasoby za pomocą interfejsu wiersza polecenia platformy Azure.

Testowanie konfiguracji

Spróbuj zaktualizować/utworzyć klucz, który narusza regułę, jeśli masz przypisanie zasad z efektem "Odmów", zwróci 403 do żądania. Przejrzyj wynik skanowania kluczy spisu przypisań zasad inspekcji. Po upływie 12 godzin sprawdź menu Zgodność zasad, odfiltruj kategorię "Key Vault" i znajdź swoje przypisania. Wybierz każdą z nich, aby sprawdzić raport wyników zgodności.

Rozwiązywanie problemów

Jeśli nie ma wyników zgodności puli po jednym dniu. Sprawdź, czy przypisanie roli zostało wykonane w kroku 2 pomyślnie. Bez kroku 2 usługa zapewniania ładu klucza nie będzie mogła uzyskać dostępu do metadanych klucza. Polecenie interfejsu wiersza polecenia az keyvault role assignment list platformy Azure może sprawdzić, czy rola została przypisana.

Następne kroki