Интеграция Azure Key Vault с Политикой Azure

  • Статья

Политика Azure — это средство управления, которое дает пользователям возможность выполнять аудит и управлять средой Azure в нужном масштабе. Политика Azure предоставляет возможность размещать охранники в ресурсах Azure, чтобы обеспечить соответствие назначенным правилам политики. Она позволяет пользователям выполнять аудит, принудительное применение в режиме реального времени и исправление среды Azure. Результаты аудита, выполненные политикой, будут доступны пользователям на панели мониторинга соответствия требованиям, где они смогут просмотреть детализацию, из которой ресурсы и компоненты соответствуют требованиям и которые не соответствуют требованиям. Дополнительные сведения см. в статье Обзор службы "Политика Azure"

Примеры сценариев использования:

  • Вы хотите улучшить безопасность вашей компании, реализуя требования к минимальным размерам ключей и максимальным срокам действия сертификатов в хранилищах ключей вашей компании, но вы не знаете, какие команды будут соответствовать требованиям и которые не являются.
  • В настоящее время у вас нет решения для выполнения аудита в вашей организации, или вы проводите ручной аудит вашей среды, запрашивая отдельные команды в вашей организации, чтобы сообщить о соответствии требованиям. Вы ищете способ автоматизировать эту задачу, выполнять аудиты в режиме реального времени и гарантировать точность аудита.
  • Вы хотите применить политики безопасности компании и запретить пользователям создавать самозаверяющиеся сертификаты, но у вас нет автоматизированного способа заблокировать их создание.
  • Вы хотите смягчить некоторые требования к командам, проводящим тестирования, но при этом хотите сохранить жесткий контроль над своей производственной средой. Вам необходим простой автоматизированный способ разделения ограничений на ресурсы.
  • Необходимо убедиться, что в случае проблемы с активным сайтом вы сможете выполнить откат новых политик. Вам нужно решение для отключения принудительного применения политики одним щелчком.
  • Вы используете 3-е стороннее решение для аудита среды и хотите использовать внутреннее предложение Майкрософт.

Типы действий и руководств политики

При принудительном применении политики можно определить его влияние на итоговую оценку. Каждое определение политики позволяет выбрать один из нескольких эффектов. Поэтому применение политик может вести себя по-разному в зависимости от типа операции, которую вы оцениваете. Как правило, эффекты политик, которые интегрируются с Key Vault, включают:

  • Аудит: если задано значение политики Audit, политика не приведет к критическим изменениям в вашей среде. Он оповещает вас только о компонентах, таких как сертификаты, которые не соответствуют определениям политик в указанной область, помечая эти компоненты как несовместимые на панели мониторинга соответствия политик. Если влияния политики не выбрано, аудит выполняется по умолчанию.

  • Запрет: если задано Denyзначение действия политики, политика блокирует создание новых компонентов, таких как сертификаты, а также блокировать новые версии существующих компонентов, которые не соответствуют определению политики. Существующие несоответствующие ресурсы в хранилище ключей не затрагиваются. Возможности "аудит" будут продолжать функционировать.

  • Отключено: если задано значение действия политикиDisabled, политика по-прежнему будет оцениваться, но принудительное применение не вступит в силу, таким образом, соответствует условию с Disabled эффектом. Это полезно для отключения политики для определенного условия, а не для всех условий.

  • Изменение. Если задано Modifyзначение политики, можно добавить теги ресурсов, например добавить тег в Deny сеть. Это полезно, чтобы отключить доступ к общедоступной сети для управляемого HSM Azure Key Vault. Чтобы использовать Modify эффект, необходимо настроить управляемое удостоверение для определения политики с помощью roleDefinitionIds параметра.

  • DeployIfNotExists: если задано значение действия политики DeployIfNotExists, шаблон развертывания выполняется при выполнении условия. Это можно использовать для настройки параметров диагностики для Key Vault в рабочей области Log Analytics. Чтобы использовать DeployIfNotExists эффект, необходимо настроить управляемое удостоверение для определения политики с помощью roleDefinitionIds параметра.

  • AuditIfNotExists: если задано AuditIfNotExistsзначение действия политики, можно определить ресурсы, которые не имеют свойств, указанных в деталях условия политики. Это полезно для идентификации хранилищ ключей, не имеющих включенных журналов ресурсов. Чтобы использовать DeployIfNotExists эффект, необходимо настроить управляемое удостоверение для определения политики с помощью roleDefinitionIds параметра.

Доступные встроенные определения политик

Предопределенные политики, называемые встроенными, упрощают управление хранилищами ключей, поэтому вам не нужно писать пользовательские политики в формате JSON, чтобы применять часто используемые правила, связанные с рекомендациями по безопасности. Несмотря на то что встроенные компоненты предопределены, определенные политики требуют определения параметров. Например, определив эффект политики, можно проверить хранилище ключей и его объекты перед применением операции запрета, чтобы предотвратить сбои. Текущие встроенные для Azure Key Vault классифицируются в четырех основных группах: хранилище ключей, сертификаты, ключи и управление секретами. В каждой категории политики группируются в направлении конкретных целей безопасности.

Хранилища ключей

Управление доступом

Используя службу Политика Azure, вы можете управлять миграцией в модель разрешений RBAC в хранилищах. Дополнительные сведения см. в разделе "Миграция из политики доступа к хранилищу" в модель разрешений на основе ролей Azure

Политика Произведенный эффект
Azure Key Vault должен использовать модель разрешений RBAC Аудит (по умолчанию), запрет, отключение

Сетевой доступ

Уменьшите риск утечки данных путем ограничения доступа к общедоступной сети, включения Приватный канал Azure подключений, создания частных зон DNS для переопределения разрешения DNS для частной конечной точки и включения защиты брандмауэра, чтобы хранилище ключей по умолчанию не было доступно для любого общедоступного IP-адреса.

Политика Произведенный эффект
В Azure Key Vault должен быть отключен общий доступ по сети Аудит (по умолчанию), запрет, отключение
[предварительная версия] Управляемый HSM в Azure Key Vault должен отключить доступ к общедоступной сети Аудит (по умолчанию), запрет, отключение
[Предварительная версия]. Настройка управляемых HSM Key Vault для отключения доступа к общедоступной сети Изменение (по умолчанию), отключение
[предварительная версия]: Azure Key Vaults должны использовать приватный канал Аудит (по умолчанию), запрет, отключение
[предварительная версия]: управляемые HSM Azure Key Vault должны использовать приватный канал Аудит (по умолчанию), отключен
[предварительная версия]: настройка Azure Key Vault с помощью частных конечных точек DeployIfNotExists (default), disabled
[Предварительная версия]. Настройка управляемого HSM в Azure Key Vault с частными конечными точками DeployIfNotExists (default), disabled
[Предварительная версия]. Настройка Azure Key Vault для использования частных зон DNS DeployIfNotExists (default), disabled
Хранилища ключей должны иметь брандмауэр Аудит (по умолчанию), запрет, отключение
Настройка Key Vault для включения брандмауэра Изменение (по умолчанию), отключение

Защита от удаления

Предотвратить постоянную потерю данных хранилища ключей и его объектов, включив обратимое удаление и защиту от очистки. Хотя обратимое удаление позволяет восстановить случайно удаленное хранилище ключей для настраиваемого периода хранения, защита очистки защищает вас от инсайдерских атак, применяя обязательный период хранения для обратимо удаленных хранилищ ключей. Защиту от удаления можно включить только после включения обратимого удаления. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении.

Политика Произведенный эффект
Хранилища ключей должны иметь обратимое удаление Аудит (по умолчанию), запрет, отключение
Хранилища ключей должны иметь включенную защиту очистки Аудит (по умолчанию), запрет, отключение
Для Управляемого модуля HSM для Azure Key Vault необходимо включить защиту от очистки Аудит (по умолчанию), запрет, отключение

Диагностика

Включение журналов ресурсов для повторного создания следов действий, используемых в целях расследования, когда происходит инцидент безопасности или когда сеть скомпрометирована.

Политика Произведенный эффект
Развертывание параметров диагностики для Key Vault в Концентраторе событий DeployIfNotExists (по умолчанию)
Развертывание. Настройка параметров диагностики для управляемых HSM Key Vault в концентраторе событий DeployIfNotExists (default), disabled
Развертывание. Настройка параметров диагностики для Key Vault в рабочей области Log Analytics DeployIfNotExists (default), disabled
Журналы ресурсов в Key Vault должны быть включены AuditIfNotExists (по умолчанию), отключен
Журналы ресурсов в управляемом HSM Key Vault должны быть включены AuditIfNotExists (по умолчанию), отключен

Сертификаты

Жизненный цикл сертификатов

Повышение уровня использования краткосрочных сертификатов для устранения незамеченных атак путем минимизации времени постоянного ущерба и уменьшения стоимости сертификата злоумышленникам. При реализации краткосрочных сертификатов рекомендуется регулярно отслеживать срок их действия, чтобы избежать сбоев, чтобы они могли быть вращаются надлежащим образом до истечения срока действия. Вы также можете контролировать действие времени существования, указанное для сертификатов, которые находятся в течение определенного количества дней их истечения или достигли определенного процента их допустимой жизни.

Политика Произведенный эффект
[предварительная версия]: сертификаты должны иметь указанный максимальный срок действия. Эффекты: аудит (по умолчанию), запрет, отключение
[предварительная версия]: срок действия сертификатов не должен истекать в течение указанного количества дней. Эффекты: аудит (по умолчанию), запрет, отключение
Для сертификатов необходимо настроить указанные триггеры действия для времени существования Эффекты: аудит (по умолчанию), запрет, отключение

Примечание.

Рекомендуется применять политику истечения срока действия сертификата несколько раз с различными порогами истечения срока действия, например при 180, 90, 60 и 30-дневных пороговых значениях.

Центр сертификации

Аудит или принудительное применение выбора определенного центра сертификации для выдачи сертификатов либо на основе одного из интегрированных центров сертификации Azure Key Vault (Digicert или GlobalSign), либо не интегрированных центров сертификации по вашему предпочтению. Вы также можете выполнить аудит или запретить создание самозаверяемых сертификатов.

Политика Произведенный эффект
Сертификаты должны быть выданы указанным интегрированным центром сертификации Аудит (по умолчанию), запрет, отключение
Сертификаты должны быть выданы указанным неинтегрированным центром сертификации Аудит (по умолчанию), запрет, отключение

Атрибуты сертификата

Ограничьте тип сертификатов хранилища ключей для rsA, ECC или HSM. При использовании сертификатов с многоточием кривой или ECC можно настроить и выбрать имена кривых, такие как P-256, P-256K, P-384 и P-521. При использовании сертификатов RSA можно выбрать минимальный размер ключа для сертификатов в 2048 битах, 3072 битах или 4096 битах.

Политика Произведенный эффект
Сертификаты должны использовать разрешенные типы ключей Аудит (по умолчанию), запрет, отключение
У сертификатов, использующих шифрование на основе эллиптических кривых, должны быть разрешенные имена кривых Аудит (по умолчанию), запрет, отключение
Для сертификатов, использующих шифрование RSA, должен быть указан минимальный размер ключа Аудит (по умолчанию), запрет, отключение

Ключи

Ключи с поддержкой HSM

Аппаратный модуль безопасности (HSM) используется для хранения ключей. HSM обеспечивает физический уровень защиты для криптографических ключей. Криптографический ключ не может оставить физический модуль HSM, который обеспечивает больший уровень безопасности, чем ключ программного обеспечения. В некоторых организациях существуют требования по обязательному использованию ключей HSM. Эту политику можно использовать для аудита всех ключей, хранящихся в хранилище ключей, которые не поддерживается HSM. Эту политику можно также использовать для блокировки создания новых ключей, которые не поддерживается HSM. Эта политика будет применяться ко всем типам ключей, включая RSA и ECC.

Политика Произведенный эффект
Ключи должны поддерживаться аппаратным модулем безопасности (HSM) Аудит (по умолчанию), запрет, отключение

Жизненный цикл ключей

С помощью встроенных средств управления жизненным циклом можно пометить или заблокировать ключи, которые не имеют даты окончания срока действия, получать оповещения всякий раз, когда задержки смены ключей могут привести к сбою, запретить создание новых ключей, близких к дате окончания срока действия, ограничить время существования и активное состояние ключей для смены ключей и запретить активность ключей в течение более чем указанного числа дней.

Политика Произведенный эффект
Ключи должны иметь политику поворота, гарантирующую, что их смена запланирована в течение указанного количества дней после создания Аудит (по умолчанию), отключен
Для ключей Key Vault должна быть задана дата окончания срока действия Аудит (по умолчанию), запрет, отключение
[предварительная версия]: у управляемых ключей HSM должна быть дата окончания срока действия Аудит (по умолчанию), запрет, отключение
Ключи должны иметь больше указанного числа дней до истечения срока действия Аудит (по умолчанию), запрет, отключение
[Предварительная версия]: управляемые ключи HSM в Azure Key Vault должны иметь больше указанного числа дней до истечения срока действия. Аудит (по умолчанию), запрет, отключение
Для ключей должен быть указан максимальный срок действия Аудит (по умолчанию), запрет, отключение
Ключи не должны быть активными дольше указанного числа дней Аудит (по умолчанию), запрет, отключение

Внимание

Если у ключа задана дата активации, указанная выше политика вычислит количество дней, прошедших с даты активации ключа до текущей даты. Если это число дней превышает установленное пороговое значение, ключ будет помечен как несоответствующий этой политике. Если у ключа нет даты активации, политика вычислит количество дней, прошедших с даты создания ключа до текущей даты. Если это число дней превышает установленное пороговое значение, ключ будет помечен как несоответствующий этой политике.

Ключевые атрибуты

Ограничьте тип ключей Хранилища ключей, которые должны быть RSA, ECC или HSM. При использовании криптографии с многоточием или ключей ECC можно настроить и выбрать имена кривых, такие как P-256, P-256K, P-384 и P-521. Если вы используете ключи RSA, можно заставить использовать минимальный размер ключа для текущих и новых ключей в 2048 битах, 3072 битах или 4096 битах. Помните, что использование ключей RSA с меньшими размерами ключей не является безопасной практикой проектирования, поэтому рекомендуется заблокировать создание новых ключей, которые не соответствуют минимальным требованиям к размеру.

Политика Произведенный эффект
Ключи должны иметь указанный тип шифрования RSA или EC Аудит (по умолчанию), запрет, отключение
У ключей, использующих шифрование на основе эллиптических кривых, должны быть указаны имена кривых Аудит (по умолчанию), запрет, отключение
[Предварительная версия]: управляемые ключи HSM в Azure Key Vault с помощью криптографии с многоточием должны иметь указанные имена кривых. Аудит (по умолчанию), запрет, отключение
Для ключей, использующих шифрование RSA, должен быть указан минимальный размер ключа Аудит (по умолчанию), запрет, отключение
[Предварительная версия]: управляемые ключи HSM в Azure Key Vault с помощью шифрования RSA должны иметь указанный минимальный размер ключа. Аудит (по умолчанию), запрет, отключение

Секреты

Жизненный цикл секретов

С помощью встроенных средств управления жизненным циклом можно помечать или блокировать секреты, не имеющие даты окончания срока действия, получать оповещения всякий раз, когда задержки в смене секретов могут привести к сбою, запретить создание новых ключей, близких к дате окончания срока действия, ограничить время существования и активное состояние ключей для смены ключей и запретить активность ключей в течение более чем указанного числа дней.

Политика Произведенный эффект
Секреты должны иметь дату окончания срока действия Аудит (по умолчанию), запрет, отключение
Секреты должны иметь больше указанного числа дней до истечения срока действия Аудит (по умолчанию), запрет, отключение
Для секретов должен быть указан максимальный срок действия Аудит (по умолчанию), запрет, отключение
Секреты не должны быть активными дольше указанного числа дней Аудит (по умолчанию), запрет, отключение

Внимание

Если у секрета задана дата активации, указанная выше политика вычислит количество дней, прошедших с даты активации секрета до текущей даты. Если это число дней превышает установленное пороговое значение, секрет будет помечен как несоответствующий этой политике. Если для секрета не задана дата активации, эта политика вычисляет количество дней, прошедших с даты создания секрета до текущей даты. Если это число дней превышает установленное пороговое значение, секрет будет помечен как несоответствующий этой политике.

Секретные атрибуты

Любой обычный текст или закодированный файл можно хранить в виде секрета хранилища ключей Azure. Однако в организации могут существовать политики смены и ограничения для паролей, строк подключения или сертификатов, хранимых в качестве ключей. Тег типа содержимого поможет пользователю понять, что хранится в объекте секрета, не считывая значение этого секрета. Вы можете проверить секреты, у которых нет набора тегов типа контента или запретить создавать новые секреты, если у них нет набора тегов типа контента.

Политика Произведенный эффект
Для секретов должен быть задан тип содержимого Аудит (по умолчанию), запрет, отключение

Пример сценария

Вы управляете хранилищем ключей, используемым несколькими командами, которое содержит 100 сертификатов, и хотите убедиться, что ни один из сертификатов в хранилище ключей не будет действителен более 2 лет.

  1. Вы назначаете политику Сертификаты должны иметь указанный максимальный срок действия, указываете, что максимальный срок действия сертификата составляет 24 месяца, и указываете действие политики "Аудит".
  2. При просмотре отчета о соответствии на портале Azure вы обнаружите, что 20 сертификатов не соответствуют требованиям и действительны в течение более двух лет.
  3. Вы обратитесь к владельцам этих сертификатов и сообщите о новом требовании безопасности, что сертификаты не могут быть действительными в течение более 2 лет. Некоторые команды ответили и 15 сертификатов были обновлены с максимальным сроком действия 2 года или меньше. Другие команды не отвечают, и у вас по-прежнему есть 5 несоответствующих сертификатов в хранилище ключей.
  4. Вы изменяете действие политики, присваивая значение "запретить". 5 несоответствующие сертификаты не отозваны, и они продолжают функционировать. Однако они не могут быть продлены с сроком действия, превышающим 2 года.

Включение политики хранилища ключей и управление ими с помощью портал Azure

Выбор назначения определения политики

  1. Войдите на портал Azure.

  2. В строке поиска "Политика" найдите и выберите Политика.

    Снимок экрана: строка поиска.

  3. В окне "Политика" выберите Определения.

    Снимок экрана: выделенный раздел

  4. В фильтре категорий снимите флажок Выбрать все и выберите Key Vault.

    Снимок экрана: фильтр категорий с выбранной категорией

  5. Теперь вы сможете просмотреть все политики, доступные для общедоступной предварительной версии Azure Key Vault. Убедитесь, что вы прочитали и поняли раздел руководств по политике, приведенный выше, затем выберите политику, которую нужно назначить для области.

    Снимок экрана: политики, предоставляемые в общедоступной предварительной версии.

Назначение политики для области

  1. Выберите политику, которую хотите применить. В этом примере показана политика Управление сроком действия сертификата. Нажмите кнопку "Назначить" в левом верхнем углу.

    Снимок экрана: политика управления сроком действия сертификата.

  2. Выберите подписку, в которой необходимо применить политику. Вы можете выбрать ограничение области только для одной группы ресурсов в рамках подписки. Если вы хотите применить политику ко всей подписке и исключить некоторые группы ресурсов, можно также настроить список исключений. Установите для параметра принудительного применения политики значение Enabled (Включено), если хотите, чтобы применить политику (аудит или запрет), или Disabled (Отключено), чтобы отключить эффект (аудит или отрицание).

    Снимок экрана: здесь вы можете выбрать ограничение области только для одной группы ресурсов в рамках подписки.

  3. Щелкните вкладку "Параметры" в верхней части экрана, чтобы указать максимальный срок действия в месяцах. Если вам нужно ввести параметры, можно снять флажок параметр Only show parameters that need input or review (Показывать только параметры, которые требуют ввода или проверки). Выберите аудит или запретить в отношении действия политики, следуя указаниям в разделах выше. Потом выберите кнопку "Просмотреть и создать".

    Снимок экрана: вкладка

Просмотр результатов соответствия

  1. Снова перейдите в колонку "Политика" и выберите вкладку "Соответствие требованиям". Щелкните назначение политики, для которой вы хотите просмотреть информацию о соответствии требованиям.

    Снимок экрана: вкладка

  2. На этой странице вы можете фильтровать результаты по соответствующим или несоответствующим хранилищам. Здесь в области назначения политики можно просмотреть список несоответствующих хранилищ ключей. Хранилище считается несоответствующим, если какой-либо из компонентов (сертификатов) в хранилище не соответствует требованиям. Вы можете выбрать отдельное хранилище, чтобы просмотреть отдельные несоответствующие компоненты (сертификаты).

    Снимок экрана: список несоответствующих Key Vault в область назначения политики.

  3. Просмотр названия несоответствующих компонентов в хранилище

    Снимок экрана: здесь вы можете просмотреть названия несоответствующих компонентов в хранилище.

  4. Если вам нужно проверка, запрещается ли пользователям создавать ресурсы в хранилище ключей, можно щелкнуть вкладку "События компонентов" (предварительная версия), чтобы просмотреть сводку операций с запрещенными сертификатами с запросом и метками времени запросов.

    Общие сведения о работе хранилища Azure Key Vault

Ограничения функции

При назначении "запрещенной" политики запуск запрета на создание несоответствующих ресурсов может занять до 30 минут (в среднем) и 1 час (в худшем случае). Задержка указывает на следующие сценарии:

  1. Назначается новая политика.
  2. Существующее назначение политики изменяется.
  3. В области с существующими политиками создается новый keyVault (ресурс).

Оценка политики существующих компонентов хранилища может занять до 1 часа (в среднем) и 2 часов (в худшем случае), прежде чем результаты проверки будут доступны для просмотра в пользовательском интерфейсе портала.

Если результаты проверки соответствия отображаются как "Не запущено", это может указывать на то, что:

  • Оценка политики еще не завершена. В худшем случае задержка оценки может занять до 2 часов.
  • В области назначения политики нет хранилищ ключей.
  • В области назначения политики нет хранилищ ключей с сертификатами.

Примечание.

Политика Azure режимы поставщика ресурсов, например для Azure Key Vault, предоставляют сведения о соответствии на странице соответствия компонентам.

Next Steps