Hantering av nycklar och certifikat i Microsoft Cloud for Sovereignty
Kryptografisk autentisering och kryptering är effektiva metoder för att uppfylla kraven på konfidentialitet, sekretess och datasuveränitet. Effektiviteten i dessa lösningar beror emellertid på säkerheten och motståndskraften för de underliggande kryptografiska teknikerna och verksamhetsprocesserna. Den här artikeln innehåller begrepp som du bör känna till när du planerar att använda krypteringsnycklar och digitala certifikat för att skydda arbetsbelastningar som migreras till molnet.
Nyckelförvaltning
Kryptografiska material lagras och hanteras i Azure med hjälp av Azure Key Vault, som är tillgängligt i distributionslägen med flera en eller flera klientorganisationer. Azure Key Vault (AKV) tillhandahåller hantering av inbyggda nycklar, hemligheter och certifikat i en tjänst för flera organisationer i samma installation som stöds av FIPS 140-validerade maskinvarusäkerhetsmoduler. Azure Key Vault-hanterad HSM är en tjänst för en klientorganisation som ger dig fullständig administrativ kontroll över organisationens säkerhetsdomän och associerade krypteringsnycklar.
Rekommendationer för effektiv nyckelhantering
Plattformskontroller, även om de är absolut nödvändiga, är inte den enda aspekten av effektiv nyckelhantering. Microsoft presenterar också flera bästa metoder för effektiv nyckelhantering.
Åtkomstkontroller
Om du använder Standard- eller Premium-SKU:er för Azure Key Vault rekommenderar vi att du distribuerar ett valv per program, miljö och region för att upprätthålla minsta rättigheter. Om du använder hanterad HSM är det bättre att distribuera ett mindre antal centraliserade valv för att hantera kostnader. Oavsett vilken SKU du distribuerar måste du se till att valvåtkomsten är strikt reglerad med hjälp av rollbaserad åtkomstkontroll (RBAC) och se till att åtkomstpolicyer i varje valv följer principen om minsta rättighet. Vi rekommenderar att du beviljar åtkomst till användare, grupper och program i en specifik omfattning, såsom prenumeration, resursgrupp eller bara ett specifikt nyckelvalv, med hjälp av fördefinierade Azure RBAC-roller. Att kontrollera åtkomst är avgörande och rekommenderas för lednings- och dataplaner.
Säkerhetskopiering och återställning
Du måste göra regelbundna säkerhetskopior på HSM-nivå och för specifika nycklar. Vi rekommenderar att du konfigurerar mjuk borttagning och rensar skyddsfunktioner för att skydda dig mot oavsiktliga och skadliga raderingar. Azure Monitor, som är helt integrerat med hanterad HSM, rekommenderas för övervakning och loggning av åtkomst till nyckelvalv. Mer information finns i Metodtips för Azure Managed HSM.
Nyckelrotation
Se till att regelbundna rotationer av Customer Managed Keys (CMK) utförs, med den frekvens som bestäms av din organisations policy. Nycklar bör också roteras om en administratör med nyckelåtkomst lämnar eller byter roller, eller om någon CMK äventyras. Autorotation stöds genom Azure Key Vault och Azure Managed HSM. När så är möjligt, se till att rotationsprocessen är automatiserad, körs utan mänsklig interaktion och testas för att säkerställa effektivitet. I nödsituationer såsom en komprometterad nyckel behöver du ett robust system för att omedelbart återskapa hemligheter. Om automatisering av denna process inte är genomförbar rekommenderar vi att du ställer in varningar för att förhindra att certifikatet löper ut, samt avbrott.
Kommentar
Även om roterande CMK:er för konfidentiella virtuella datorer stöds, stöds inte automatiseringsprocessen ännu. Fler rekommendationer finns här.
HSM-relaterade rekommendationer
En del kunder vill se till att nycklarna är separata från data genom att lagra nycklarna i en extern HSM, antingen i ett tredjepartsmoln eller lokalt. Även om det här steget kan se ut som en naturligt övergång från hantering av lokala miljöer kan en extern HSM introducera nya risker för identitets-, nätverks- och programvarulagren. En extern HSM kan också öka prestandarisker och leda till nätverksproblem som orsakar latens, SLA-problem som beror på problem med tredjeparts-HSM samt kostnader för underhåll och utbildning. Tredjeparts-HSM-moduler kanske inte innehåller viktiga funktioner som mjuk borttagning och rensningsskydd.
För mer information om de tekniska kontrollerna inbyggda i Sovereign landningszon (SLZ) för att upprätthålla lämpliga nyckelhanteringsmetoder, se Policyportfölj.
Certifikathantering
Digitala säkerhetscertifikat används ofta för säker kommunikation för molnprogram. Administrationen som associeras med certifikathanteringsaktiviteter, som utfärdande, rotering och återkallande av certifikat, kan växa snabbt när fler arbetsbelastningar migreras till molnet. Kunder som planerar att migrera arbetsbelastningar till Microsoft Cloud for Sovereignty bör förstå sina scenarier för digitala säkerhetscertifikat så att de kan utveckla certifikathanteringsplaner som en del av molnmigreringen.
Vanliga scenarier för digitala certifikat
I det här avsnittet beskrivs vanliga molnscenarier där digitala certifikat används för att säkra kommunikationer.
Webbplatsautentisering och kryptering
Webbplatser använder TLS-certifikat för att verifiera identiteten på besökare och för att kryptera kommunikationer. På offentliga webbplatser används vanligtvis certifikat från offentliga certifikatutfärdare (CA), men organisationer använder ofta certifikat från en privat certifikatutfärdare för webbplatser som inte är synliga för allmänheten. I båda fallen måste certifikaten för webbplatser förnyas när de förfaller eller när certifikatets integritet är i fråga. För organisationer med stor webbnärvaro kan det krävas betydlig planering och insats för att hantera certifikaten.
Tjänsteautentisering
Distribuerade program och mikrotjänster använder ofta en tillståndslös sessionsmodell som ger flexibilitet vid hantering av programförfrågningar, men som även kan kräva ytterligare autentisering och kryptering för att minska säkerhetsriskerna. Certifikat används ofta för ömsesidig autentisering mellan programlager och komponenter. Ofta hanteras komponenterna av ett decentraliserat programutvecklingsteam, vilket gör det svårt att spåra och övervaka hanteringen av digitala certifikat över hela företaget.
Infrastrukturautentisering
Servrar och nätverksenheter använder ofta klientcertifikat för autentisering i företagsnätverket och under underhållsaktiviteter. Organisationer som använder lösningar som Active Directory eller Kerberos måste vanligtvis hantera klientcertifikat för sin distribuerade infrastruktur.
Andra certifikatscenarier
Lösningar för slutpunktshantering använder ofta enhetscertifikat för att autentisera slutanvändares enheter som datorer, bärbara datorer och mobila enheter. Certifikat för kodsignering används i utvecklingsmiljöer för att verifiera utgivaren av programvara som en del av en organisations metod för programsäkerhet.
Hantering av certifikats livscykel i molnet
Plattformshanterade certifikat jämfört med kundhanterade certifikat
Azure PaaS-tjänster som tillhandahåller kryptering för data under överföring implementerar krypteringen med digitala certifikat som hanteras av plattformen och som är associerade med standardvärdnamnet som tilldelas vid skapande av resurser. När du vill använda ett anpassat domännamn med resurserna du distribuerar till molnet måste du konfigurera ett certifikat som kan användas av externa användare när de får åtkomst till tjänsten. För kommunikation mellan Azure-tjänster som inte har konfigurerats att använda anpassade domännamn är plattformshanterade certifikat standardmetoden när data krypteras under överföring. Om du vill använda certifikat som är associerade med anpassade domännamn går du till dokumentationen för de Azure-tjänster du planerar att distribuera, till exempel följande exempel.
Skapa certifikat med Azure Key Vault
Azure Key Vault förser kunderna med molnbaserade funktioner för certifikathantering som gör att Azure-plattformen kan använda certifikat som kunder skapar eller importerar. Du kan antingen skapa självsignerade certifikat i Key Vault, begära ett certifikat från en certifikatutfärdare eller importera ett certifikat från din egen certifikatutfärdare. Key Vault hjälper dig också att ange principer för certifikat, till exempel om certifikat ska kunna exporteras eller inte exporteras.
- Kom igång med Key Vault-certifikat
- Integrera Key Vault med integrerade certifikatutfärdare
- Skapa och slå ihop en certifikatsigneringsbegäran i Key Vault
Skapa certifikat lokalt och hantera dem i Azure
Om du vill utfärda certifikat från en lokal certifikatutfärdare kan du importera certifikaten till Azure Key Vault för användning av andra Azure-tjänster. När ett certifikat har exporterats som en PEM- eller PFX-fil kan du importera det till Azure Key Vault.
Skapa och hantera lokala certifikat med tredjepartslösningar
Organisationer som redan har funktioner för certifikathantering i företagsklass kan överväga att integrera sina lokala lösningar med sina arbetsbelastningar i molnet. Många lokala certifikatutfärdare och certifikathanteringslösningar kan integreras med Key Vault med REST API och hanterade identiteter.
Decentraliserad certifikathantering
En metod för att skala organisationens certifikathanteringsfunktioner är att decentralisera utgivning och hantering av certifikat till program- och infrastrukturteam. Lösningar som Azure Key Vault gör det möjligt för en organisation att standardisera sig enligt acceptabel teknik och processer för nyckelhantering, utan att centralisera administrationen av dessa nyckelhanteringsprocesser i ett enda åtgärdsteam. Flera strategier kan användas för att delegera nyckelhanteringsuppgifter närmare program- och infrastrukturteam.
Hanterade certifikat
Offentliga webbplatser som kräver certifikat från en offentlig certifikatutfärdare kan använda hanterade certifikat i Azure PaaS-tjänster som Azure App Service eller Azure Front Door. Certifikat från integrerade certifikatutfärdare kan också skapas, hanteras och roteras i Azure Key Vault. Mer information finns i följande resurser:
- Anpassade domäner och certifikat i Azure App Service
- Anpassade domäner i Azure Front Door
- Integrera Key Vault med DigiCert-certifikatutfärdare
Automatisera certifikatutfärdande i CI/CD-pipelines
Organisationer som antar Dev/Ops-processerna kan automatisera certifikatutfärdandet som en del av sina CI/CD-pipelines. Den här metoden delegerar visst certifikathanteringsansvar till programteam och tillåter dem att tillhandahålla egna certifikat med inbyggda Azure-tjänster, som Azure DNS, Azure App Service och Azure Key Vault.
Hantera slutpunktscertifikat
Slutpunktscertifikat används i IaaS-arbetsbelastningar, där servrar och tjänster använder certifikat för autentisering. Eftersom det här scenariot associeras med virtuella datorer, kan organisationer hantera certifikaten med samma konfigurationshanteringsverktyg eller skapa automatiseringsverktyg som används för att hantera konfigurationer för virtuella datorer.