Integrace spravovaného modulu HSM Azure s Azure Policy

  • Článek

Azure Policy je nástroj zásad správného řízení, který uživatelům umožňuje auditovat a spravovat své prostředí Azure ve velkém měřítku. Azure Policy poskytuje možnost umístit na prostředky Azure mantinely, aby bylo zajištěno, že vyhovují přiřazeným pravidlům zásad. Umožňuje uživatelům provádět audit, vynucování v reálném čase a nápravu jejich prostředí Azure. Výsledky auditů provedených zásadami budou uživatelům k dispozici na řídicím panelu dodržování předpisů, kde uvidí podrobné informace o tom, které prostředky a komponenty jsou kompatibilní a které ne. Další informace najdete v tématu Přehled služby Azure Policy.

Příklady scénářů použití:

  • V současné době nemáte řešení pro provádění auditu v rámci vaší organizace nebo provádíte ruční audity prostředí tak, že požádáte jednotlivé týmy ve vaší organizaci, aby nahlásily dodržování předpisů. Hledáte způsob, jak tento úkol automatizovat, provádět audity v reálném čase a zaručit přesnost auditu.
  • Chcete vynutit zásady zabezpečení vaší společnosti a zabránit jednotlivcům ve vytváření určitých kryptografických klíčů, ale nemáte automatizovaný způsob, jak jejich vytváření zablokovat.
  • Chcete uvolnit některé požadavky na testovací týmy, ale chcete zachovat pevnou kontrolu nad provozním prostředím. Potřebujete jednoduchý automatizovaný způsob, jak oddělit vynucování prostředků.
  • Chcete mít jistotu, že můžete vrátit vynucování nových zásad, pokud dojde k problému s živým webem. K vypnutí vynucování zásad potřebujete řešení jedním kliknutím.
  • Při auditování prostředí se spoléháte na řešení třetí strany a chcete použít interní nabídku Microsoftu.

Typy účinků zásad a pokyny

Audit: Pokud je účinek zásady nastavený na audit, zásada nezpůsobí ve vašem prostředí žádné zásadní změny. Upozorní vás pouze na komponenty, jako jsou klíče, které nevyhovují definicím zásad v zadaném oboru, a to tak, že tyto komponenty na řídicím panelu dodržování zásad označí jako nevyhovující. Audit je výchozí, pokud není vybraný žádný efekt zásad.

Odepřít: Když je účinek zásady nastavený na odepření, zásada zablokuje vytváření nových součástí, jako jsou slabší klíče, a zablokuje nové verze existujících klíčů, které nevyhovují definici zásady. Stávající nedodržující předpisy v rámci spravovaného modulu HSM nejsou ovlivněny. Funkce auditování budou nadále fungovat.

Klíče používající kryptografii s eliptickou křivkou by měly mít zadané názvy křivek.

Pokud používáte kryptografii se třemi tečkami nebo klíče ECC, můžete přizpůsobit seznam povolených názvů křivek z následujícího seznamu. Výchozí možnost umožňuje všechny následující názvy křivek.

  • P-256
  • P-256K
  • P-384
  • P-521

Klíče by měly mít nastavená data vypršení platnosti.

Tato zásada audituje všechny klíče ve spravovaných modulech HSM a označí klíče, u kterých není nastavené datum vypršení platnosti jako nedodržování předpisů. Tuto zásadu můžete použít také k blokování vytváření klíčů, které nemají nastavené datum vypršení platnosti.

Klíče by měly mít více než zadaný počet dnů před vypršením platnosti.

Pokud se klíč příliš blíží vypršení platnosti, může zpoždění organizace při obměně klíče způsobit výpadek. Klíče by se měly obměňovat v zadaném počtu dnů před vypršením platnosti, aby byl dostatek času na reakci na selhání. Tato zásada audituje klíče příliš blízko k datu vypršení platnosti a umožňuje nastavit tuto prahovou hodnotu ve dnech. Tuto zásadu můžete použít také k tomu, abyste zabránili vytváření nových klíčů příliš blízko k datu vypršení jejich platnosti.

Klíče používající kryptografii RSA by měly mít zadanou minimální velikost klíče.

Použití klíčů RSA s menšími velikostmi klíčů není bezpečný postup návrhu. Můžete být předmětem auditních a certifikačních standardů, které vyžadují použití minimální velikosti klíče. Následující zásady umožňují nastavit minimální požadavek na velikost klíče pro spravovaný HSM. Můžete auditovat klíče, které nesplňují tento minimální požadavek. Tuto zásadu můžete použít také k blokování vytváření nových klíčů, které nesplňují požadavek na minimální velikost klíče.

Povolení a správa zásad spravovaného HSM prostřednictvím Azure CLI

Udělení oprávnění k denní kontrole

Pokud chce zákazník zkontrolovat dodržování předpisů u klíčů inventáře fondu, musí přiřadit roli Managed HSM Crypto Auditor k azure Key Vault spravované službě zásad správného řízení HSM (ID aplikace: a1b76039-a76c-499f-a2dd-846b4cc32627), aby měl přístup k metadatům klíče. Bez udělení oprávnění se klíče inventáře nebudou hlásit v Azure Policy sestavě dodržování předpisů, kontrolou dodržování předpisů budou pouze nové klíče, aktualizované klíče, importované klíče a obměněné klíče. K tomu musí uživatel, který má ve spravovaném modulu HSM roli Správce spravovaného HSM, spustit následující příkazy Azure CLI:

V oknech:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

Zkopírujte vytištěný id soubor a vložte ho do následujícího příkazu:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

V systému Linux nebo subsystému Windows v Linuxu:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Vytvoření přiřazení zásad – definování pravidel auditování nebo zamítnutí

Přiřazení zásad mají pro parametry definic zásad definované konkrétní hodnoty. V Azure Portal přejděte do části Zásady, vyfiltrujte kategorii Key Vault a vyhledejte tyto čtyři klíčové definice zásad správného řízení ve verzi Preview. Vyberte ho a pak nahoře vyberte tlačítko Přiřadit. Vyplňte jednotlivá pole. Pokud je přiřazení zásad pro odepření požadavků, použijte jasný název zásady, protože při zamítnutí požadavku se v chybě zobrazí název přiřazení zásady. Vyberte Další, zrušte zaškrtnutí políčka Zobrazovat pouze parametry, které vyžadují vstup nebo revizi a zadejte hodnoty parametrů definice zásady. Přeskočte nápravu a vytvořte přiřazení. Služba bude potřebovat až 30 minut, aby vynutila přiřazení "Odepřít".

  • U spravovaných klíčů HSM Azure Key Vault by mělo být datum vypršení platnosti.
  • Spravované klíče HSM Azure Key Vault s využitím kryptografie RSA by měly mít zadanou minimální velikost klíče.
  • Spravované klíče HSM Azure Key Vault by měly mít před vypršením platnosti více než zadaný počet dnů.
  • Spravované klíče HSM Azure Key Vault používající kryptografické šifrování s eliptickou křivkou by měly mít zadané názvy křivek.

Tuto operaci můžete také provést pomocí Azure CLI. Informace o identifikaci nevyhovujících prostředků pomocí Azure CLI najdete v tématu Vytvoření přiřazení zásad.

Testování instalace

Zkuste aktualizovat nebo vytvořit klíč, který porušuje pravidlo. Pokud máte přiřazení zásady s účinkem "Odepřít", vrátí se do vaší žádosti 403. Zkontrolujte výsledek kontroly klíčů inventáře přiřazení zásad auditování. Po 12 hodinách zkontrolujte nabídku Dodržování předpisů zásad, vyfiltrujte kategorii Key Vault a vyhledejte svá přiřazení. Vyberte každou z nich a zkontrolujte sestavu výsledků dodržování předpisů.

Poradce při potížích

Pokud se po jednom dni nezobrazí žádné výsledky dodržování předpisů ve fondu. Zkontrolujte, jestli se přiřazení role v kroku 2 úspěšně dokončilo. Bez kroku 2 nebude mít služba zásad správného řízení přístup k metadatům klíče. Příkaz Azure CLI az keyvault role assignment list může ověřit, jestli je role přiřazená.

Další kroky