Integrera Azure Managed HSM med Azure Policy

  • Artikel

Azure Policy är ett styrningsverktyg som ger användarna möjlighet att granska och hantera sin Azure-miljö i stor skala. Azure Policy ger möjlighet att placera skyddsmekanismer på Azure-resurser för att säkerställa att de är kompatibla med tilldelade principregler. Det gör det möjligt för användare att utföra granskning, tillämpning i realtid och reparation av sin Azure-miljö. Resultatet av granskningar som utförs av principen kommer att vara tillgängliga för användare på en instrumentpanel för efterlevnad där de kan se en ökad detaljnivå för vilka resurser och komponenter som är kompatibla och vilka som inte är det. Mer information finns i Översikt över Azure Policy-tjänsten.

Exempel på användningsscenarier:

  • Du har för närvarande ingen lösning för att utföra en granskning i organisationen, eller så utför du manuella granskningar av din miljö genom att be enskilda team i din organisation att rapportera deras efterlevnad. Du letar efter ett sätt att automatisera den här uppgiften, utföra granskningar i realtid och garantera att granskningen är korrekt.
  • Du vill framtvinga företagets säkerhetsprinciper och hindra enskilda användare från att skapa vissa kryptografiska nycklar, men du har inget automatiserat sätt att blockera skapandet av dem.
  • Du vill lätta på vissa krav för testteamen, men du vill ha noggranna kontroller över produktionsmiljön. Du behöver ett enkelt automatiserat sätt att separera tillämpningen av dina resurser.
  • Du vill vara säker på att du kan återställa tillämpningen av nya principer om det uppstår ett problem med livewebbplatsen. Du behöver en lösning med ett klick för att inaktivera tillämpningen av principen.
  • Du förlitar dig på en tredjepartslösning för att granska din miljö och du vill använda ett internt Microsoft-erbjudande.

Typer av policyeffekter och vägledning

Granskning: När effekten av en princip är inställd på granskning orsakar principen inga icke-bakåtkompatibla ändringar i din miljö. Den varnar dig bara för komponenter som nycklar som inte följer principdefinitionerna inom ett angivet omfång genom att markera dessa komponenter som icke-kompatibla på instrumentpanelen för principefterlevnad. Granskning är standard om ingen principeffekt har valts.

Neka: När effekten av en princip är inställd på att neka blockerar principen skapandet av nya komponenter, till exempel svagare nycklar, och blockerar nya versioner av befintliga nycklar som inte följer principdefinitionen. Befintliga icke-kompatibla resurser i en Hanterad HSM påverkas inte. Granskningsfunktionerna fortsätter att fungera.

Nycklar som använder elliptisk kurvkryptografi ska ha de angivna kurvnamnen

Om du använder elliptisk kurvkryptografi eller ECC-nycklar kan du anpassa en lista över tillåtna kurvnamn i listan nedan. Standardalternativet tillåter alla följande kurvnamn.

  • P-256
  • P-256K
  • P-384
  • P-521

Nycklar ska ha förfallodatum angivna

Den här principen granskar alla nycklar i dina hanterade HSM:er och flaggor som inte har ett utgångsdatum inställt som icke-kompatibelt. Du kan också använda den här principen för att blockera skapandet av nycklar som inte har ett angivet utgångsdatum.

Nycklarna bör ha fler än det angivna antalet dagar innan de upphör att gälla

Om en nyckel är för nära förfallodatum kan en organisationsfördröjning för att rotera nyckeln leda till ett avbrott. Nycklarna ska roteras vid ett angivet antal dagar före förfallotiden för att ge tillräckligt med tid för att reagera på ett fel. Den här principen granskar nycklar som är för nära utgångsdatumet och gör att du kan ange tröskelvärdet i dagar. Du kan också använda den här principen för att förhindra att nya nycklar skapas för nära utgångsdatumet.

Nycklar som använder RSA-kryptografi bör ha en angiven minsta nyckelstorlek

Att använda RSA-nycklar med mindre nyckelstorlekar är inte en säker designmetod. Du kan omfattas av gransknings- och certifieringsstandarder som kräver användning av en minsta nyckelstorlek. Med följande princip kan du ange ett minsta krav för nyckelstorlek på din Managed HSM. Du kan granska nycklar som inte uppfyller detta minimikrav. Den här principen kan också användas för att blockera skapandet av nya nycklar som inte uppfyller kravet på minsta nyckelstorlek.

Aktivera och hantera en Hanterad HSM-princip via Azure CLI

Ge behörighet att genomsöka dagligen

För att kontrollera kompatibiliteten för poolens inventeringsnycklar måste kunden tilldela rollen "Managed HSM Crypto Auditor" till "Azure Key Vault Managed HSM Key Governance Service"(App-ID: a1b76039-a76c-499f-a2dd-846b4cc32627) så att den kan komma åt nyckelns metadata. Utan beviljande av behörighet kommer inventeringsnycklar inte att rapporteras i Azure Policy efterlevnadsrapport. Endast nya nycklar, uppdaterade nycklar, importerade nycklar och roterade nycklar kontrolleras vid kompatibilitet. För att göra det måste en användare som har rollen "Managed HSM Administrator" för Managed HSM köra följande Azure CLI-kommandon:

I fönster:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

Kopiera den id utskrivna, klistra in den i följande kommando:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

I Linux- eller Windows-undersystem för Linux:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Skapa principtilldelningar – definiera granskningsregler och/eller neka

Principtilldelningar har konkreta värden som definierats för principdefinitionernas parametrar. I Azure Portal går du till "Princip", filtrerar på kategorin "Key Vault" och letar upp dessa fyra principdefinitioner för förhandsversionen av viktiga styrningsprinciper. Välj en och välj sedan knappen "Tilldela" längst upp. Fyll i varje fält. Om principtilldelningen gäller för begärandenekanden använder du ett tydligt namn på principen, eftersom principtilldelningens namn visas i felet när en begäran nekas. Välj Nästa, avmarkera "Visa endast parametrar som behöver indata eller granskning" och ange värden för parametrar för principdefinitionen. Hoppa över "Reparation" och skapa tilldelningen. Tjänsten behöver upp till 30 minuter för att framtvinga "Neka"-tilldelningar.

  • Azure Key Vault Managed HSM-nycklar ska ha ett utgångsdatum
  • Azure Key Vault Managed HSM-nycklar med RSA-kryptografi bör ha en angiven minsta nyckelstorlek
  • Azure Key Vault Managed HSM-nycklar bör ha fler än det angivna antalet dagar innan de upphör att gälla
  • Azure Key Vault Managed HSM-nycklar med hjälp av elliptisk kurvkryptografi bör ha de angivna kurvnamnen

Du kan också utföra den här åtgärden med hjälp av Azure CLI. Se Skapa en principtilldelning för att identifiera icke-kompatibla resurser med Azure CLI.

Testa konfigurationen

Försök att uppdatera/skapa en nyckel som bryter mot regeln. Om du har en principtilldelning med effekten "Neka" returneras 403 till din begäran. Granska genomsökningsresultatet för inventeringsnycklar för granskningsprinciptilldelningar. Efter 12 timmar kontrollerar du policyns efterlevnadsmeny, filtrerar på kategorin "Key Vault" och letar reda på dina tilldelningar. Välj på var och en av dem för att kontrollera kompatibilitetsresultatrapporten.

Felsökning

Om det inte finns några efterlevnadsresultat för en pool efter en dag. Kontrollera om rolltilldelningen har utförts i steg 2. Utan steg 2 kommer nyckelstyrningstjänsten inte att kunna komma åt nyckelns metadata. Azure CLI-kommandot az keyvault role assignment list kan kontrollera om rollen har tilldelats.

Nästa steg