Partilhar via

Integrar o Azure Managed HSM com a Política do Azure

  • Artigo

A Política do Azure é uma ferramenta de governança que oferece aos usuários a capacidade de auditar e gerenciar seu ambiente do Azure em escala. A Política do Azure fornece a capacidade de colocar guarda-corpos nos recursos do Azure para garantir que eles estejam em conformidade com as regras de política atribuídas. Ele permite que os usuários realizem auditoria, imposição em tempo real e correção de seu ambiente do Azure. Os resultados das auditorias realizadas pela política estarão disponíveis para os usuários em um painel de conformidade, onde eles poderão ver um detalhamento de quais recursos e componentes estão em conformidade e quais não estão. Para obter mais informações, consulte Descrição geral do serviço Azure Policy.

Exemplos de cenários de utilização:

  • No momento, você não tem uma solução para realizar uma auditoria em toda a sua organização ou está conduzindo auditorias manuais do seu ambiente solicitando que equipes individuais dentro da sua organização relatem sua conformidade. Você está procurando uma maneira de automatizar essa tarefa, realizar auditorias em tempo real e garantir a precisão da auditoria.
  • Você deseja aplicar as políticas de segurança da sua empresa e impedir que indivíduos criem determinadas chaves criptográficas, mas não tem uma maneira automatizada de bloquear sua criação.
  • Deseja relaxar em alguns requisitos para as suas equipas de teste, mas deseja manter controlos rígidos sobre o seu ambiente de produção. Precisa de uma maneira automatizada simples de separar a aplicação dos seus recursos.
  • Você quer ter certeza de que pode reverter a aplicação de novas políticas se houver um problema no local. Você precisa de uma solução de um clique para desativar a aplicação da política.
  • Você está confiando em uma solução de terceiros para auditar seu ambiente e deseja usar uma oferta interna da Microsoft.

Tipos de efeitos políticos e orientações

Auditoria: Quando o efeito de uma política é definido como auditoria, a política não causará alterações significativas no seu ambiente. Ele só alertará você sobre componentes como chaves que não estão em conformidade com as definições de política dentro de um escopo especificado, marcando esses componentes como não compatíveis no painel de conformidade da política. A auditoria será padrão se nenhum efeito de política for selecionado.

Negar: Quando o efeito de uma política é definido para negar, a política bloqueará a criação de novos componentes, como chaves mais fracas, e bloqueará novas versões de chaves existentes que não estejam em conformidade com a definição da política. Os recursos não compatíveis existentes em um HSM gerenciado não são afetados. As capacidades de «auditoria» continuarão a funcionar.

As chaves que utilizam criptografia de curva elíptica devem ter os nomes das curvas especificados

Se você usar criptografia de curva elíptica ou chaves ECC, poderá personalizar uma lista permitida de nomes de curvas na lista abaixo. A opção padrão permite todos os seguintes nomes de curva.

  • P-256
  • P-256K
  • P-384
  • P-521

As chaves devem ter datas de validade definidas

Esta política audita todas as chaves em seus HSMs gerenciados e sinaliza chaves que não têm uma data de expiração definida como não compatível. Você também pode usar essa política para bloquear a criação de chaves que não têm uma data de validade definida.

As chaves devem ter mais do que o número de dias especificado antes da expiração

Se uma chave estiver muito próxima da expiração, um atraso organizacional para girar a chave pode resultar em uma interrupção. As chaves devem ser giradas em um número especificado de dias antes da expiração para fornecer tempo suficiente para reagir a uma falha. Essa política auditará chaves muito próximas de sua data de expiração e permitirá que você defina esse limite em dias. Você também pode usar essa política para evitar a criação de novas chaves muito perto da data de validade.

As chaves que utilizam criptografia RSA devem ter um tamanho mínimo de chave especificado

O uso de chaves RSA com tamanhos de chave menores não é uma prática de design segura. Você pode estar sujeito a padrões de auditoria e certificação que exigem o uso de um tamanho mínimo de chave. A política a seguir permite que você defina um requisito de tamanho mínimo de chave em seu HSM gerenciado. Você pode auditar chaves que não atendem a esse requisito mínimo. Essa política também pode ser usada para bloquear a criação de novas chaves que não atendam ao requisito de tamanho mínimo de chave.

Habilitando e gerenciando uma política de HSM gerenciado por meio da CLI do Azure

Dar permissão para digitalizar diariamente

Para verificar a conformidade das chaves de inventário do pool, o cliente deve atribuir a função "Managed HSM Crypto Auditor" a "Azure Key Vault Managed HSM Key Governance Service" (ID do aplicativo: a1b76039-a76c-499f-a2dd-846b4cc32627) para que possa acessar os metadados da chave. Sem a concessão de permissão, as chaves de inventário não serão relatadas no relatório de conformidade da Política do Azure, apenas novas chaves, chaves atualizadas, chaves importadas e chaves giradas serão verificadas quanto à conformidade. Para fazer isso, um usuário que tenha a função de "Administrador de HSM gerenciado" para o HSM gerenciado precisa executar os seguintes comandos da CLI do Azure:

Nas janelas:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

Copie o id impresso, cole-o no seguinte comando:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

No subsistema Linux ou Windows do Linux:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Criar atribuições de política - definir regras de auditoria e/ou negar

As atribuições de políticas têm valores concretos definidos para os parâmetros das definições de políticas. No portal do Azure, vá para "Política", filtre na categoria "Cofre de Chaves", encontre estas quatro definições de política de governança de chave de visualização. Selecione um e, em seguida, selecione o botão "Atribuir" na parte superior. Preencha cada campo. Se a atribuição de política for para recusas de solicitação, use um nome claro sobre a política porque, quando uma solicitação for negada, o nome da atribuição de política aparecerá no erro. Selecione Avançar, desmarque "Mostrar apenas parâmetros que precisam de entrada ou revisão" e insira valores para parâmetros da definição de política. Ignore a "Remediação" e crie a atribuição. O serviço precisará de até 30 minutos para impor as atribuições de "Negar".

  • As chaves HSM gerenciadas do Azure Key Vault devem ter uma data de expiração
  • As chaves HSM gerenciadas do Azure Key Vault usando criptografia RSA devem ter um tamanho mínimo de chave especificado
  • As chaves HSM gerenciadas do Azure Key Vault devem ter mais do que o número especificado de dias antes da expiração
  • As chaves HSM gerenciadas do Azure Key Vault usando criptografia de curva elíptica devem ter os nomes de curva especificados

Você também pode fazer essa operação usando a CLI do Azure. Consulte Criar uma atribuição de política para identificar recursos não compatíveis com a CLI do Azure.

Teste a sua configuração

Tente atualizar/criar uma chave que viole a regra, se você tiver uma atribuição de política com efeito "Negar", ela retornará 403 à sua solicitação. Analise o resultado da verificação das chaves de inventário das atribuições de política de auditoria. Após 12 horas, verifique o menu Conformidade da política, filtre na categoria "Cofre de chaves" e encontre suas atribuições. Selecione em cada um deles, para verificar o relatório de resultados de conformidade.

Resolução de Problemas

Se não houver resultados de conformidade de um pool após um dia. Verifique se a atribuição de função foi feita na etapa 2 com êxito. Sem a Etapa 2, o serviço de governança de chaves não poderá acessar os metadados da chave. O comando CLI az keyvault role assignment list do Azure pode verificar se a função foi atribuída.

Passos Seguintes