Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Etkin kullanıcı yönetimi, Azure Cloud HSM'nin güvenliğini ve bütünlüğünü korumak için çok önemlidir. Bu makalede, güvenliği artırmak ve yetkisiz access önlemek için kullanıcı kimliklerini yönetme, kimlik bilgilerinin güvenliğini sağlama, yedeklilik uygulama ve kullanıcı izinlerini kısıtlamaya yönelik en iyi yöntemler özetlenmiştir.
Kullanıcı tarafından yönetilen kimlik oluşturma
Azure Cloud HSM için kullanıcı tarafından atanan yönetilen kimlik oluşturabilirsiniz. Azure Cloud HSM için yönetilen kimlik, kullanıcı yedekleme ve geri yükleme işlemleri için özel olarak uyarlanmıştır.
Yönetilen kimlik, Bulut HSM yedeklemelerinin bir storage hesabına aktarılmasını kolaylaştırır. Ayrıca mevcut yedeklemelerden yeni Cloud HSM örnekleri sağlama dahil olmak üzere iş sürekliliği ve olağanüstü durum kurtarma (BCDR) senaryolarına da olanak tanır. Bu kurulum, yedeklemelerine erişim ve BCDR gereksinimlerini karşılamak amacıyla geri yükleme işlemlerini bağımsız olarak yürütme yeteneğine ihtiyaç duyan müşteriler için önemlidir.
Aşağıdaki öğelerden birini kullanarak Azure virtual machines (VM) için kullanıcı tarafından atanan yönetilen kimliği benimsemenizi öneririz:
- Azure Bulut HSM SDK'sı (örneğin, Cloud HSM istemcisi)
- Yönetim eylemlerinin gerçekleştirildiği VM'ler
- Uygulamalar, donanım güvenlik modülü (HSM) kaynaklarına erişen
Bu yaklaşım güvenliği artırır, yönetimi basitleştirir, ölçeklenebilirliğin sağlanmasına yardımcı olur ve uyumluluk gereksinimlerini karşılamaya yardımcı olur. Azure VM'lerde yönetici erişimini yönetmek için güvenli ve izlenebilir bir yöntem sağlar.
Güçlü parolalar kullanma
Benzersiz ve güçlü parolalar oluşturmanızı öneririz. Azure Cloud HSM'nin parola uzunluğu en az 8 karakterdir ve en fazla 32 karakter uzunluğundadır. En az 12 karakter içeren bir parola kullanmanızı öneririz.
Büyük ve küçük harflerin, sayıların ve özel karakterlerin bir karışımını birleştirin. Yaygın sözcüklerden ve kişisel bilgilerden kaçının. Hatırlamanız kolay ancak başkalarının tahminde bulması zor rastgele bir tümcecik veya tümce kullanmayı göz önünde bulundurun.
HSM kullanıcı kimlik bilgilerinizin güvenliğini sağlama
HSM kullanıcı kimlik bilgilerinizin korunması çok önemlidir çünkü bu kimlik bilgileri HSM'nizde şifreleme ve yönetim işlemleri gerçekleştirmek için access verir.
Azure Cloud HSM, HSM kullanıcı kimlik bilgilerinize erişimi saklamaz. Kimlik bilgilerinize access kaybederseniz Microsoft yardımcı olamaz.
HSM kullanıcılarınızın kümenizin tüm düğümlerinde kullanılabilir olduğundan emin olun
Bir kullanıcı oluşturduğunuzda, tüm düğümler kullanılabilir durumdaysa, kullanıcı Bulut HSM kümesinin üç düğümünde de oluşturulur. Ancak anahtarlardan farklı olarak Azure Cloud HSM hizmeti arka uç kullanıcı eşitlemesi gerçekleştirmez. Kullanıcı yönetimi tamamen müşteri tarafından yönetilir.
Dikkat
Bir kullanıcı yalnızca bir düğümde varsa ve bu düğüm başarısız olursa, kurtarma seçeneği olmadan kalıcı olarak kilitlenebilirsiniz. Her zaman kullanıcıların tüm düğümler arasında senkronize olduğunu doğrulayın.
Kullanıcı oluşturma işlemi bir veya daha fazla düğümde başarısız olursa (örneğin, bir düğümün kullanılamaması nedeniyle), durumu düzeldikten sonra kullanıcıyı eksik olan düğümlerde yeniden oluşturmanız gerekir. Bunu yapmak için, kullanıcı oluşturma komutunu özdeş kimlik bilgileriyle yeniden çalıştırın, bu da eksik düğümler üzerinde bir güncellemeyi zorunlu kılar. Kullanıcıyı yeniden oluşturup şifreleme kullanıcısı (CU) olarak oturum açın ve üç küme düğümüne de bağlantıyı onaylayın.
Kullanıcı oluşturma komutları hakkında bilgi için bkz. Azure Cloud HSM ekleme kılavuzu. Eksik kullanıcıları tanımlama ve eşitleme hakkında ayrıntılı adımlar için bkz. Azure Cloud HSM düğümleri arasında kullanıcıları ve anahtarları eşitleme.
Kilitleme önleme için eş yöneticiler atama
HSM kilitleme riskini önlemek için, süreklilik sağlamak için en az iki yönetici atamanızı öneririz. Bir yönetici parolası kaybolursa, diğer yönetici parolayı sıfırlayabilir.
Kısıtlı izinlere sahip birden çok şifreleme kullanıcısı oluşturma
Sorumluluklar şifreleme kullanıcıları (CU) arasında dağıtıldığında, tek bir kullanıcının sistemin tamamı üzerinde mutlak denetimi yoktur. Birden çok RU oluşturmanız ve her birinin izinlerini buna göre kısıtlamanız gerekir. Bu görev genellikle CU'lara ayrı sorumluluklar ve eylemler atamayı içerir.
Örneğin, bir CU anahtarları oluşturmak ve dağıtmakla görevlenebilirken, diğerleri bu anahtarları uygulamanızda kullanır.
Birden çok şifreleme kullanıcısı ile anahtar paylaşımını ayarlama
Anahtarlar diğer CU'larla paylaşılabilir. Ancak anahtarı yalnızca asıl sahibi sarmalayabilir. Diğer kullanıcılar anahtarı kullanabilir, ancak şifreleme yetkilisi (CO) kullanıcısının TRUSTED olarak işaretlediği bir anahtara erişimi olsa bile düz metni dışa aktarma gerçekleştiremez.
Şifreleme kullanıcılarının anahtarları dışarı aktarma becerisini sınırlama
CO kullanıcısı, cu'nun yürütebileceği işlemleri düzenlemek için bir dizi öznitelik tanımlayabilir. Bu öznitelikler CU'nun anahtarları sarmalama/kaldırma ve anahtar özniteliklerini değiştirme veya anahtar türetme özelliğini kısıtlamayı içerir. Bu sınırlama CU'un HSM'den özel anahtar malzemesi ayıklamasını önlemeye yardımcı olur.
Bu öznitelikleri yapılandırmak için komutunu kullanabilirsiniz .
Kripto kullanıcıları üzerindeki kripto yetkilisi kontrolünü sınırlama
CO kullanıcılarının CU'nun anahtar malzemesine erişimini kısıtlamanız gerekiyorsa, bir CO kullanıcısının yönetim erişimini iptal etmek mümkündür. Örneğin, CO kullanıcılarının hem anahtarı güvenilir olarak işaretlemesini hem de bu anahtarı kullanarak düz metin dışarı aktarma gerçekleştirmesini engellemek isteyebilirsiniz.
disableUserAccess komutu, CO kullanıcısının belirtilen CU'ya erişimini iptal ederek bu kısıtlamayı sağlar. Ancak, bir CO kullanıcısı bu kısıtlamaya sahip olmayan önceki bir yedeklemeyi kullanarak bu ölçüyü atlatabilir.