Microsoft Cloud for Sovereignty uygulamasında anahtar yönetimi ve sertifika yönetimi

Şifreleme kimlik doğrulaması ve şifreleme, gizlilik ve veri yönetimini karşılama gereksinimlerini karşılamaya yönelik etkili stratejilerdir. Bununla birlikte, bu çözümlerin verimliliği temel şifreleme teknolojileri ve operasyonel süreçlerin güvenliğine ve dayanıklılığına dayanmaktadır. Bu makalede, buluta geçiş yaptığınız iş yüklerini güven altına almak için şifreleme anahtarlarını ve sayı imlecelerini kullanmayı planlarken tanımanız gereken kavramlar tanıtılıyor.

Anahtar yönetimi

Şifreleme malzemeleri, hem çok müşterili hem de tek kiracılı dağıtım modlarında kullanılabilen Azure Key Vault kullanılarak Azure'da depolanır ve yönetilir. Azure Key Vault (AKV), FIPS 140 tarafından doğrulanmış donanım güvenlik modülleri tarafından desteklenen çok müşterili bir hizmette bulut yerel anahtarı, gizli ve sertifika yönetimi sağlar. Azure Key Vault Yönetilen HSM, kuruluşunuzun güvenlik etki alanı ve ilişkili şifreleme anahtarları üzerinde tam yönetici denetimi sağlayan tek kiracılı bir hizmettir.

Etkili anahtar yönetimi için öneriler

Platform kontrolleri zorunlu olmasına rağmen etkili anahtar yönetiminin tek yönü değildir. Microsoft ayrıca etkili anahtar yönetimi için çeşitli en iyi uygulamaları sunmaktadır.

Erişim denetimleri

Azure Key Vault Standart veya Premium SKU'larını kullanıyorsanız en az ayrıcalığı sağlamak için uygulama, ortam ve bölge başına bir kasa dağıtmanızı öneririz. Yönetilen HSM kullanıyorsanız, maliyetleri yönetmek için daha az sayıda merkezi kasa dağıtmanız tercih edilebilir. Dağıttığınız SKU'yu dikkate almadan, Rol Tabanlı Erişim Denetimi (RBAC) kullanarak kasa erişimini sıkı bir şekilde düzenlemeniz ve her kasa içindeki erişim ilkelerinin en az ayrıcalık ilkesine bağlı olduğundan emin olmanız gerekir. Azure RBAC önceden tanımlanmış rollerini kullanarak abonelik, kaynak grubu veya yalnızca belirli bir Anahtar Kasası gibi belirli bir kapsamdaki kullanıcılara, gruplara ve uygulamalara erişim vermenizi öneririz. Erişimin kontrol edilmesi kritik önem taşır ve yönetim ile veri düzlemlerinde önerilir.

Yedekleme ve kurtarma

HSM düzeyinde ve belirli anahtarlar için düzenli yedeklemelere sahip olmanız gerekir. Yanlışlıkla ve kötü niyetli silme işlemlerine karşı koruma sağlamak için geçici silme ve temizleme koruma özelliklerini yapılandırmanızı öneririz. Yönetilen HSM ile tamamen tümleşik olan Azure Monitor, anahtar kasasına erişimin izlenmesi ve günlüğe kaydedilmesi için önerilir. Daha fazla bilgi için bkz. Azure Yönetilen HSM En İyi uygulamaları.

Anahtar rotasyonu

Kuruluşunuzun ilkesine göre belirlenen sıklıkta, Müşteri Tarafından Yönetilen Anahtarların (CMK'ler) düzenli rotasyonlarının yapıldığından emin olun. Anahtar erişimine sahip bir yönetici ayrılırsa veya rol değiştirirse ya da herhangi bir CMK'nin güvenliği ihlal edilirse anahtarlar da dönüşümlü olarak kullanılmalıdır. Otomatik döndürme, Azure Key Vault ve Azure Yönetilen HSM aracılığıyla desteklenir. Mümkün olduğunda rotasyon sürecinin otomatik olduğundan, herhangi bir insan etkileşimi olmadan yürütüldüğünden ve etkinliğini sağlamak için test edildiğinden emin olun. Güvenliği ihlal edilmiş bir anahtar gibi acil durumlarda, sırları anında yeniden oluşturmak için sağlam bir sisteme ihtiyacınız vardır. Bu sürecin otomasyonu mümkün değilse sertifika sürelerinin dolmasını ve kesintilerini önlemek için uyarılar ayarlamanızı öneririz.

Not

Gizli VM'ler için CMK'lerin döndürülmesi desteklenirken otomasyon süreci henüz desteklenmemektedir. Daha fazla öneriyi burada görüntüleyebilirsiniz.

HSM ile ilişkili öneriler

Bazı müşteriler, üçüncü taraf bir bulutta veya yerinde harici bir HSM'de anahtarları depolayarak anahtarlarını verilerden ayrı tutma konusuyla ilgilenmektedir. Bu adım yerinde ortamlarının yönetiminden doğal bir geçiş görünse de, dış bir HSM kimlik, ağ ve yazılım katmanlarında yeni riskler açabilir. Ayrıca, harici bir HSM, performans risklerini artırabilir ve gecikmeye neden olan ağ sorunları, üçüncü taraf HSM ile sorunların neden olduğu SLA sorunları ve bakım ve eğitim maliyetleri gibi endişeleri ortaya çıkabilir. Ayrıca, üçüncü taraf HSM'ler yumuşak silme ve temizleme koruması gibi önemli özellikler sağlamayabilir.

Uygun anahtar yönetimi uygulamalarını uygulamak amacıyla Bağımsız Giriş Bölgesine (SLZ) yerleştirilen teknik kontroller hakkında daha fazla bilgi için bkz. ilke portföyü.

Sertifika yönetimi

Dijital güvenlik sertifikaları, bulut uygulamalarıyla ilgili iletişimleri güven altına almak için yaygın olarak kullanılır. Sertifika yönetimi aktiviteleriyle ilişkili genel gider, veren, döndüren ve iptal edilen sertifikalar da dahil olmak üzere iş yükleri buluta geçirilir taşınmaz hızla büyüyebilir. İş yüklerini Microsoft Cloud for Sovereignty'ye geçirmeyi planlayan müşteriler, bulut geçişlerinin bir parçası olarak sertifika yönetim planları geliştirebilmeleri için, dijital güvenlik sertifikası senaryolarını anlamalıdırlar.

Yaygın dijital sertifika senaryoları

Bu bölümde, iletişimlerin güvenliğini sağlamak için dijital sertifikalar kullanan yaygın bulut senaryoları açıklanmaktadır.

Web sitesi kimlik doğrulaması ve şifreleme

Web siteleri, kimliklerini ziyaretçilere doğrulamak ve iletişimi şifrelemek için TLS sertifikaları kullanır. Ortak web siteleri genellikle ortak sertifika yetkililerinden (CA) sertifikalar kullanır, ancak kuruluşlar genellikle herkese açık olmayan web siteleri için özel bir CA'dan alınan sertifikaları kullanırlar. Her iki durumda da, web sitelerinin sertifikaları, süreleri geçtiğinde veya sertifikanın bütünlüğü söz konusu olduğunda yenilenmelidir. Web'de büyük iletişim durumu olan kuruluşlar için, bu sertifikaların yönetilmesi önemli bir planlama ve çaba gerektirebilir.

Hizmet kimlik doğrulaması

Dağıtılmış uygulamalar ve mikro hizmetler genellikle uygulama isteklerini işlemede esneklik sağlayan durumsuz bir oturum modeli kullanırlar, ancak güvenlik risklerini azaltmak için ek kimlik doğrulaması ve şifreleme de gerektirebilir. Sertifikalar genellikle uygulama katmanları ve bileşenleri arasında karşılıklı kimlik doğrulama için kullanılır. Bu bileşenler genellikle, merkeziyetsiz uygulama geliştirme ekipleri tarafından yönetilir ve bu da dijital sertifikaların yönetimini tüm kuruluşta izlemesini ve izlemesini zor hale getirir.

Altyapı kimlik doğrulaması

Sunucular ve ağ aygıtları genellikle şirket ağında ve bakım etkinlikleri sırasında kimlik doğrulaması için istemci sertifikaları kullanırlar. Active Directory veya Kerberos gibi çözümler kullanan kuruluşlar genellikle, dağıtılan altyapıları için istemci sertifikalarını yönetmek zorunda olur.

Diğer Sertifika senaryoları

Uç nokta yönetimi çözümleri, genellikle PC'ler, Dizüstü bilgisayarlar ve mobil aygıtlar gibi son kullanıcı aygıtlarının kimlik doğrulama işlemleri için aygıt sertifikalarını kullanır. Kod imza sertifikaları, geliştirme ortamlarında bir kuruluşun uygulama güvenliği yaklaşımının bir parçası olarak yazılımın yayımcısını doğrulamak için kullanılır.

Buluttaki sertifika yaşam döngüsü yönetimi

Platform tarafından yönetilen sertifikalar ve müşteri tarafından yönetilen sertifikalar

Aktarım sırasında veriler için şifreleme sağlayan Azure PaaS hizmetleri genellikle platform tarafından yönetilen dijital sertifikalar kullanarak ve kaynak oluşturmada atanan varsayılan ana bilgisayar adı ile ilişkili şifrelemeyi uygular. Buluta dağıttığınız kaynaklar ile bir özel etki alanı adı kullanmak istediğinizde, dış kullanıcılar servise erişirken kullanabilecek bir sertifikayı yapılandırmanız gerekir. Özel etki alanı adlarını kullanacak şekilde yapılandırılmayan Azure hizmetleri arasındaki hizmet içi iletişim için, platform tarafından yönetilen sertifikalar, taşıma sırasındaki verilerin şifrelenmesinde varsayılan araçlardır. Özel etki alanı adlarıyla ilişkilendirilmiş sertifikalar kullanmak istiyorsanız, aşağıdaki örnekler gibi, dağıtmayı planladığınız Azure hizmetlerinin belgelerine bakın.

• Azure App Service'de Özel Etki Alanları
• Azure Container Uygulamalarında Özel Etki Alanları

Azure Key Vault ile sertifika oluşturma

Azure Key Vault, Azure platformlarının müşterilerin oluşturduğu veya aldığı sertifikaları kullanmasına olanak tanıyan bulut yerel sertifika yönetimi özellikleri sağlar. Key Vault'ta kendi imzanızla imzalanan sertifikalar oluşturabilir, verenden sertifika isteyebilir veya kendi sertifika yetkilinizden bir sertifika alabilirsiniz. Key Vault, sertifikaların verilebilir veya alınamaz olması gibi ilkeleri belirtmenize de yardımcı olur.

• Key Vault Sertifikalarına Başlarken
• Key Vault ile Tümleşik Sertifika Yetkililerini Tümleştirme
• Key Vault'ta sertifika imza isteği oluşturma ve birleştirme

Azure'da sertifikalar yerinde oluşturma ve bunları yönetme

Yerinde sertifika yetkilisinden sertifika vermek istiyorsanız, bu sertifikaları diğer Azure hizmetlerinin kullanımı için Azure Key Vault'ta alabilirsiniz. Sertifika PEM veya PFX dosyası olarak verildiğinde, sertifikayı Azure Key Vault'a içe aktarabilirsiniz.

• Öğretici: Azure Key Vault'a sertifika aktarma

Üçüncü taraf çözümlerle sertifika yerinde oluşturma ve yönetme

Önceden kuruluş düzeyinde sertifika yönetimi yeteneklerine sahip olan kuruluşlar, yerinde çözümlerini buluttaki iş yükleriyle tümleştirip tümleştirmeyeceğini düşünebilirler. Birçok yerinde sertifika yetkilisi ve sertifika yönetimi çözümü, REST API ve yönetilen kimlikleri kullanarak Key Vault ile tümleşebilir.

Merkeze bağlı olmayan sertifika yönetimi

Organizasyonun sertifika yönetimi yeteneklerini ölçeklendirmenin bir yaklaşımı, uygulama ve altyapı takımlarına sertifikaların verilmesi ve yönetiminin merkeziyetsizleştirilmesidir. Azure Key Vault gibi çözümler, bir kuruluşun kabul edilebilir anahtar yönetimi teknolojileri ve süreçlerinde, bu anahtar yönetimi işlemlerinin yönetimini tek bir operasyon ekibinde merkezileştirmeden standartlaştırmasına olanak verir. Uygulama ve altyapı takımlarına yakın anahtar yönetim sorumluluklarını atamak için çeşitli stratejiler kullanılabilir.

Yönetilen sertifikalar

Ortak sertifika yetkilisinden sertifikalar gerektiren genele yönelik web siteleri, Azure App Service veya Azure Front Door gibi Azure PaaS hizmetlerindeki yönetilen sertifikalardan yararlanabilir. Tümleşik sertifika yetkililerinden sertifikalar Azure Key Vault içinde de oluşturulabilir, yönetilebilir ve döndürülebilir. Daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:

• Azure App Service'de özel etki alanları ve sertifikalar
• Azure Front Door'da özel etki alanları
• Key Vault ile DigiCert sertifika yetkilisini tümleştirme

CI/CD Ardışık Hatlarda sertifikayı otomatikleştirme

Dev/Ops işlemlerini benimseyen kuruluşlar, kendi CI/CD ardışık düzenlerinin parçası olarak sertifikaların verilmesini otomatikleştirebilirler. Bu yaklaşım, uygulama takımlarına bazı sertifika yönetim sorumluluklarını verir ve Azure DNS, Azure App Service ve Azure Key Vault gibi yerel Azure hizmetlerini kullanarak kendi sertifikalarını sağlamalarına olanak tanır.

Uç nokta sertifikalarını yönetme

Uç nokta sertifikaları, sunucuların ve hizmetlerin kimlik doğrulaması için sertifikaları kullandığı IaaS iş yüklerinde kullanılır. Bu senaryo sanal makineler ile ilişkilendirildiğinden, kuruluşlar bu sertifikaları, sanal makine yapılandırmalarını yönetmek için kullanılan aynı yapılandırma yönetim araçlarını veya otomasyon araçlarını kullanarak yönetebilir.

Ayrıca bkz.

• Azure Key Vault
  
• Azure Yönetilen Donanım Güvenliği Modülü
  
• Azure Yönetilen HSM En İyi uygulamaları