Zarządzanie kluczami i certyfikatami w Microsoft Cloud for Sovereignty
Uwierzytelnianie kryptograficzne i szyfrowanie są skutecznymi strategiiami na potrzeby zgodności z poufnością, prywatnością i wymaganiami dotyczącymi dane. Jednak skuteczność tych rozwiązań zależy od zabezpieczeń i bezpieczeństwa podstawowych technologii kryptograficznych i procesów operacyjnych. W tym artykule oprowadzono pojęcia, które należy zapoznać się z planowaniem korzystania z kluczy szyfrowania i certyfikatów cyfrowych w celu zabezpieczenia prac migracji do chmury.
Zarządzanie kluczami
Materiały kryptograficzne są przechowywane i zarządzane na platformie Azure przy użyciu Magazynu kluczy Azure Key Vault, który jest dostępny w trybach wdrażania wielodostępnych i jednodostępnych. Usługa Azure Key Vault (AKV) udostępnia macierzysty klucz w chmurze, narzędzia i zarządzanie certyfikatami w usłudze wielokanałowej, która jest pozyskana przez moduły zabezpieczeń sprzętowe z weryfikacją FIPS 140. Zarządzany za pomocą Magazynu kluczy Azure Key Vault to usługa jednej dzierżawy, która zapewnia pełną kontrolę administracyjnych nad domeną zabezpieczeń organizacji i skojarzonymi z nią kluczami szyfrowania.
Zalecenia dotyczące skutecznego zarządzania kluczami
Kontrole platformy, choć konieczne, nie są jedynym aspektem skutecznego zarządzania kluczami. Microsoft przedstawia także kilka najlepszych praktyk dotyczących skutecznego zarządzania kluczami.
Kontrolki dostępu
Jeśli jest stosowane standardowe lub premium jednostki SKU Z Magazynu kluczy Azure Key Vault, w celu wymuszania najmniej uprawnień zalecamy wdrożenie jednego magazynu na aplikację, środowisko i region. W przypadku korzystania z zarządzanego modułu HSM dobrze jest wdrożyć mniejszą liczbę scentralizowanych magazynów w celu zarządzania kosztami. Niezależnie od wdrożonej pamięci SKU należy dokładnie sprawdzić, czy dostęp do magazynu jest dostępny przy użyciu narzędzia Role-Based Access Control (RBAC) i upewnić się, że zasady dostępu w każdym magazynie są zgodne z zasadą najmniejszego uprawnienia. Zalecamy udzielanie dostępu użytkownikom, grupom i aplikacjom w określonym zakresie, takim jak subskrypcja, grupa zasobów lub po prostu określony magazyn kluczy, przy użyciu wstępnie zdefiniowanych ról RBAC platformy Azure. Kontrolowanie dostępu ma kluczowe znaczenie i jest zalecane na płaszczyźnie zarządzania i danych.
Kopii zapasowych i odzyskiwania
Musisz robić regularne kopie zapasowe na poziomie HSM i dla określonych kluczy. Zalecamy skonfigurowanie nietrwałego usuwania i funkcji ochrony przed przypadkowym i złośliwym usunięciem. Azure Monitor, który jest w pełni zintegrowany z zarządzanym modułem HSM, jest zalecany dla monitorowania i logowania dostępu do magazynów kluczy. Aby uzyskać więcej informacji, zobacz Najlepsze praktyki zarządzanego modułu HSM usługi Azure.
Rotacja klucza
Upewnij się, że przeprowadzana jest regularna rotacja kluczy zarządzanych przez klienta (CMK), z częstotliwością określoną przez zasady Twojej organizacji. Klucze należy również zmieniać, jeśli Administrator z dostępem do klucza opuści lub zmieni rolę lub jeśli jakikolwiek element CMK zostanie naruszony. Autorotacja jest obsługiwana przez Azure Key Vault i Zarządzany moduł HSM platformy Azure. Jeśli to możliwe, upewnij się, że proces rotacji jest zautomatyzowany, wykonywany bez interakcji człowieka i testowany w celu zapewnienia skuteczności. W sytuacjach awaryjnych, takich jak naruszenie klucza, potrzebujesz niezawodnego systemu, który natychmiast zregeneruje sekrety. Jeśli automatyzacja tego procesu nie jest możliwa, zalecamy skonfigurowanie alertów, aby zapobiec wygaśnięciu certyfikatów i awariom.
Uwaga
Chociaż obsługiwana jest rotacja CMK dla poufnych maszyn wirtualnych, proces automatyzacji nie jest jeszcze obsługiwany. Możesz wyświetlić więcej rekomendacji tutaj.
Zalecenia dotyczące HSM
Niektórzy klienci są zainteresowani przechowywaniem kluczy osobno do danych dzięki przechowywaniu kluczy w zewnętrznym usłudze HSM w chmurze lub lokalnie. Chociaż krok ten może wydawać się naturalnym przejściem od środowiska lokalny, zewnętrzne HSM może wprowadzić nowe rodzaje zabezpieczeń w warstwach tożsamości, sieci i oprogramowania. Zewnętrzny model HSM może również zwiększyć wydajność i spowodować poważne problemy z siecią, takie jak problemy z siecią, problemy związane z umowy SLA powodowane przez problemy z usługami innych firm oraz koszty konserwacji i szkoleń. Ponadto moduły HSM innych firm mogą nie podawać ważnych funkcji, takich jak wstępne usuwania lub zabezpieczenie przed czyszczeniem.
Więcej informacji na temat kontroli technicznych wbudowanych w strefę suwerennego lądowania (SLZ) w celu egzekwowania odpowiednich praktyk zarządzania kluczami można znaleźć w artykule Portfolio zasad.
Zarządzanie certyfikatami
Cyfrowe certyfikaty zabezpieczeń służą do zabezpieczania komunikacji w aplikacjach w chmurze. Obciążenie związane z działaniami zarządzania certyfikatami, w tym również z zadaniami zarządzania certyfikatami, obracanie, rezydowanie certyfikatów, może rozwijać się szybko, gdy najechańsze zadania są migrowane do chmury. Klienci, którzy planują migrować swoje obciążenia do scenariuszy certyfikatów zabezpieczeń cyfrowych do Microsoft Cloud for Sovereignty, powinni tak ujmować swoje scenariusze certyfikatów, aby podczas migracji w chmurze opracować plany zarządzania certyfikatami.
Typowe scenariusze certyfikatów cyfrowych
W tej sekcji opisano typowe scenariusze w chmurze, w których do bezpiecznego komunikacji są używać certyfikatów cyfrowych.
Uwierzytelnianie i szyfrowanie witryny sieci Web
Witryny sieci Web używają certyfikatów TLS w celu sprawdzenia ich tożsamości dla osób odwiedzających witrynę i szyfrowania komunikacji. Publiczne witryny sieci Web zwykle używają certyfikatów z publicznych certyfikatów (CA), ale organizacje często używają certyfikatów z prywatnego urzędu certyfikacji w przypadku witryn sieci Web, które nie są widoczne dla publicznych. W obu przypadkach certyfikaty dla witryn sieci Web muszą być odnawiane po ich wygaśnięciu lub gdy istnieje pytanie o integralność certyfikatu. W przypadku organizacji z dużą obecnością sieci Web zarządzanie tymi certyfikatami może wymagać dużego planowania i nakładu pracy.
Uwierzytelnianie usługi
Aplikacje rozproszone i mikrousługi często używają modelu sesji bez stanów, co umożliwia obsługę żądań aplikacji, ale może również wymagać dodatkowego uwierzytelniania i szyfrowania w celu zawężynia zabezpieczeń. Certyfikaty są często używane do wzajemnego uwierzytelniania między warstwy aplikacji a składnikami. Często te składniki są zarządzane przez rozcentralizowane zespoły projektowania aplikacji, co trudno jest śledzić i monitorować certyfikaty cyfrowe w całej firmie.
Uwierzytelnianie infrastruktury
Serwery i urządzenia sieciowe często używają certyfikatów klienta do uwierzytelniania w sieci firmowej oraz podczas czynności konserwacyjnych. Organizacje, które korzystają z rozwiązań, takich jak Active Directory lub Kerberos, zazwyczaj muszą zarządzać certyfikatami klienta dla wdrożonej infrastruktury.
Inne scenariusze certyfikatów
Punkt końcowy często używają certyfikatów urządzeń w celu uwierzytelniania urządzeń użytkownika końcowego, takich jak komputery, komputery przenośne i urządzenia przenośne. Certyfikaty podpisywania kodu są używane w środowiskach projektowych w celu sprawdzenia wydawcy oprogramowania w ramach podejścia zabezpieczeń aplikacji stosowanego w organizacji.
Zarządzanie cyklem życia certyfikatów w chmurze
Certyfikaty zarządzane platformy a certyfikaty zarządzane przez klienta
Usługi Azure PaaS, które zapewniają szyfrowanie danych w sposób zazwyczaj implementują szyfrowanie przy użyciu certyfikatów cyfrowych zarządzanych przez platformę i są skojarzone z domyślną nazwą hosta przypisaną podczas tworzenia zasobów. Jeśli chcesz użyć niestandardowej nazwy domeny dla zasobów wdrożonych w chmurze, musisz skonfigurować certyfikat, który może być używany przez użytkowników zewnętrznych podczas uzyskiwania dostępu do usługi. W przypadku komunikacji wewnątrzus usługowej między usługami Azure, które nie są skonfigurowane do używania niestandardowych nazw domen, certyfikaty zarządzane na poziomie platformy są domyślnymi narzędziami do szyfrowania danych w systemie. Jeśli chcesz używać certyfikatów skojarzonych z niestandardowymi nazwami domen, zobacz dokumentację usług Azure, które chcesz wdrożyć, na przykład następujące przykłady.
- Domeny niestandardowe w usłudze aplikacji Azure App Service
- Domeny niestandardowe w aplikacjach Azure Container
Tworzenie certyfikatów z Azure Key Vault
Usługa Azure Key Vault udostępnia klientom funkcje zarządzania macierzystymi certyfikatami w chmurze, które umożliwiają platformie Azure używanie certyfikatów tworzyć lub importować klientów. Certyfikaty z podpisem własnym można tworzyć w Key Vault, prosić o certyfikat od prośby o pomoc lub zaimportować certyfikat z własnego urzędu certyfikacji. Key Vault pomaga również w określaniu zasad dla certyfikatów, takich jak to, czy certyfikaty mają być eksportowane, czy nieeksportowane.
- Wprowadzenie do certyfikatów Key Vault
- Integrowanie Key Vault ze zintegrowanymi certyfikatami urzędów
- Tworzenie i scalanie żądania podpisu certyfikatu w Key Vault
Tworzenie certyfikatów na lokalny i zarządzanie nimi na platformie Azure
Aby wystawiać certyfikaty z urzędu certyfikacji lokalny, można je zaimportować do Azure Key Vault w celu ich użycia w innych usługach Azure. Po wyeksportowaniu certyfikatu jako pliku PEM lub PFX można go zaimportować do Azure Key Vault.
Tworzenie certyfikatów i zarządzanie nimi lokalny za pomocą rozwiązań innych firm
Organizacje, które już mają funkcje zarządzania certyfikatami klasy enterprise, mogą rozważyć możliwość zintegrowania swoich lokalny z obciążeniami w chmurze. Wiele lokalny zarządzania certyfikatami i rozwiązaniami zarządzania certyfikatami można zintegrować z Magazynem kluczy przy użyciu interfejs API REST i tożsamości zarządzanych.
Decentralizowane zarządzanie certyfikatami
Jednym ze podejścia do skali funkcji zarządzania certyfikatami organizacji jest decentralizowanie wydawania certyfikatów i zarządzania nimi dla zespołów aplikacji i infrastruktury. Rozwiązania, takie jak usługa Azure Key Vault, umożliwiają organizacji standaryzowanie się na dopuszczalnych kluczowych technologii i procesach zarządzania, bez centralizowania administrowania tymi kluczowymi procesami zarządzania w jednym zespole operacyjnym. Aby delegować kluczowe obowiązki dotyczące zarządzania w celu przyległych do zespołów aplikacji i infrastruktury, można użyć kilku strategii.
Zarządzane certyfikaty
Publiczne witryny sieci Web, które wymagają certyfikatów od publicznych uprawnień certyfikatów, mogą korzystać z certyfikatów zarządzanych w usługach Azure PaaS, takich jak Azure App Service lub Azure Front Door. W Azure Key Vault można również tworzyć certyfikaty ze zintegrowanego certyfikatu, zarządzać nimi i obracać. Aby uzyskać więcej informacji, zobacz następujące zasoby:
- Domeny niestandardowe i certyfikaty w Azure App Service
- Domeny niestandardowe w usłudze Azure Front Door
- Integrowanie Key Vault z urzędem certyfikatów DigiCert
Automatyczne wydawanie certyfikatów w potokach CI/CD
Organizacje, które przetwarzają procesy Dev/Ops mogą zautomatyzować wydawanie certyfikatów w ramach ich potoków CI/CD. W tym podejścia niektóre obowiązki dotyczące zarządzania certyfikatami są delegowane do zespołów aplikacji i umożliwiają inicjowanie obsługi własnych certyfikatów przy użyciu macierzystych usług Azure, takich jak Azure DNS, Azure App Service i Azure Key Vault.
Zarządzanie punktem końcowym certyfikatów
Certyfikaty punktów końcowych są używane w obciążeniach usługi IaaS, gdzie serwery i usługi używają certyfikatów do uwierzytelniania. Ponieważ ten scenariusz jest skojarzony z maszynami wirtualnymi, organizacje mogą zarządzać tymi certyfikatami przy użyciu tych samych narzędzi do zarządzania konfiguracją lub tworzyć narzędzia automatyzacji używane do zarządzania konfiguracjami maszyn wirtualnych.