Az Azure Managed HSM integrálása Azure Policy

  • Cikk

Azure Policy egy irányítási eszköz, amely lehetővé teszi a felhasználóknak az Azure-környezet nagy léptékű naplózását és kezelését. Azure Policy lehetővé teszi, hogy védőkorlátokat helyezzen el az Azure-erőforrásokon, hogy azok megfeleljenek a hozzárendelt szabályzatszabályoknak. Lehetővé teszi a felhasználók számára az Azure-környezet naplózását, valós idejű kényszerítését és szervizelését. A szabályzat által végrehajtott auditok eredményei elérhetők lesznek a felhasználók számára egy megfelelőségi irányítópulton, ahol megtekinthetik annak részletezését, hogy mely erőforrások és összetevők megfelelők, és melyek nem. További információ: Az Azure Policy szolgáltatás áttekintése.

Példa használati forgatókönyvek:

  • Jelenleg nem rendelkezik megoldással a szervezeten belüli naplózásra, vagy manuális naplózást végez a környezetében azáltal, hogy megkéri a szervezeten belüli egyes csapatokat, hogy jelentsék a megfelelőségüket. Módot keres a feladat automatizálására, a valós idejű naplózásra és a naplózás pontosságának garantálására.
  • Szeretné kikényszeríteni a vállalati biztonsági szabályzatokat, és megakadályozni, hogy az egyének létrehozhassanak bizonyos titkosítási kulcsokat, de nem tudja automatikusan letiltani a létrehozásukat.
  • Szeretné enyhíteni a tesztcsapatok követelményeit, de szeretné szigorúan szabályozni az éles környezetet. Az erőforrások kényszerítésének elkülönítéséhez egyszerű automatizált módszerre van szükség.
  • Ha élő webhelyi probléma merül fel, biztos szeretne lenni abban, hogy visszaállíthatja az új szabályzatok kényszerítésének visszaállítását. A szabályzat kikényszerítésének kikapcsolásához egy egy kattintásos megoldásra van szükség.
  • Külső megoldásra támaszkodik a környezet naplózásához, és belső Microsoft-ajánlatot szeretne használni.

A szabályzateffektusok típusai és útmutató

Naplózás: Ha egy szabályzat hatása naplózásra van állítva, a szabályzat nem okoz kompatibilitástörő változásokat a környezetben. Csak olyan összetevőkre, például kulcsokra figyelmezteti, amelyek nem felelnek meg a szabályzatdefinícióknak egy adott hatókörben, ha ezeket az összetevőket nem megfelelőként jelöli meg a szabályzatmegfelelőségi irányítópulton. A naplózás alapértelmezett, ha nincs kiválasztva szabályzateffektus.

Megtagadás: Ha egy szabályzat hatása elutasításra van állítva, a szabályzat letiltja az új összetevők, például a gyengébb kulcsok létrehozását, és letiltja a meglévő kulcsok olyan új verzióit, amelyek nem felelnek meg a szabályzatdefiníciónak. A felügyelt HSM-ben meglévő nem megfelelő erőforrásokra nincs hatással. A "naplózási" képességek továbbra is működni fognak.

Az elliptikus görbe titkosítását használó kulcsoknak a megadott görbenevekkel kell rendelkezniük

Ha elliptikus görbe-titkosítást vagy ECC-kulcsokat használ, az alábbi listából testre szabhatja a görbenevek engedélyezett listáját. Az alapértelmezett beállítás lehetővé teszi az alábbi görbenevek mindegyikét.

  • P-256
  • P-256K
  • P-384
  • P-521

A kulcsoknak lejárati dátumokat kell beállítaniuk

Ez a szabályzat naplóz minden kulcsot a felügyelt HSM-ekben, és megjelöli azokat a kulcsokat, amelyek lejárati dátuma nem megfelelőként van beállítva. Ezzel a szabályzattal letilthatja a lejárati dátummal nem rendelkező kulcsok létrehozását.

A kulcsoknak a megadott számú napnál többnek kell lennie a lejárat előtt

Ha egy kulcs túl közel van a lejárathoz, a kulcs elforgatásához szükséges szervezeti késés kimaradáshoz vezethet. A kulcsokat a lejárat előtt meghatározott számú napon belül el kell forgatni, hogy elegendő idő adhatók meg a hibákra való reagáláshoz. Ez a szabályzat a kulcsokat túl közel naplózhatja a lejárati dátumukhoz, és lehetővé teszi, hogy ezt a küszöbértéket napokban állítsa be. Ezzel a szabályzattal megakadályozhatja, hogy az új kulcsok túl közel legyenek a lejárati dátumukhoz.

Az RSA-titkosítást használó kulcsoknak meg kell adni a kulcs minimális méretét

A kisebb kulcsméretű RSA-kulcsok használata nem biztonságos tervezési gyakorlat. Előfordulhat, hogy olyan naplózási és tanúsítási szabványok vonatkoznak Önre, amelyek egy minimális kulcsméret használatát elő iktatják. Az alábbi szabályzat lehetővé teszi egy minimális kulcsméret-követelmény beállítását a felügyelt HSM-en. Naplózhatja azokat a kulcsokat, amelyek nem felelnek meg ennek a minimális követelménynek. Ez a szabályzat arra is használható, hogy letiltsa az olyan új kulcsok létrehozását, amelyek nem felelnek meg a minimális kulcsméretre vonatkozó követelménynek.

Felügyelt HSM-szabályzat engedélyezése és kezelése az Azure CLI-vel

Napi vizsgálat engedélyezése

A készlet készletkulcsainak megfelelőségének ellenőrzéséhez az ügyfélnek hozzá kell rendelnie a "Managed HSM Crypto Auditor" szerepkört az "Azure Key Vault Managed HSM Key Governance Service"-hez (alkalmazásazonosító: a1b76039-a76c-499f-a2dd-846b4cc32627), hogy hozzáférhessen a kulcs metaadataihoz. Engedély megadása nélkül a készletkulcsok nem lesznek jelentve Azure Policy megfelelőségi jelentésben, csak az új kulcsok, a frissített kulcsok, az importált kulcsok és az elforgatott kulcsok lesznek ellenőrizve a megfelelőségen. Ehhez a felügyelt HSM-hez "Felügyelt HSM-rendszergazda" szerepkörrel rendelkező felhasználónak a következő Azure CLI-parancsokat kell futtatnia:

Windows rendszeren:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

Másolja ki a id nyomtatott fájlt, és illessze be a következő parancsba:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

Linuxon vagy Linux Windows alrendszerén:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Szabályzat-hozzárendelések létrehozása – naplózási és/vagy megtagadási szabályok meghatározása

A szabályzat-hozzárendelések konkrét értékeket határoznak meg a szabályzatdefiníciók paramétereihez. A Azure Portal lépjen a "Szabályzat" lapra, szűrjön a "Key Vault" kategóriára, és keresse meg ezt a négy előzetes verziójú fő szabályozási szabályzatdefiníciót. Jelöljön ki egyet, majd válassza felül a "Hozzárendelés" gombot. Töltse ki az egyes mezőket. Ha a szabályzat-hozzárendelés kérésmegtagadásra vonatkozik, használjon egyértelmű nevet a szabályzatról, mert ha a rendszer megtagad egy kérést, a szabályzat-hozzárendelés neve megjelenik a hibában. Válassza a Tovább lehetőséget, törölje a jelet a "Csak bemenetet vagy felülvizsgálatot igénylő paraméterek megjelenítése" jelölőnégyzetből, és adja meg a szabályzatdefiníció paramétereinek értékeit. Hagyja ki a "Szervizelés" elemet, és hozza létre a hozzárendelést. A szolgáltatásnak legfeljebb 30 perce lesz a "Megtagadás" hozzárendelések kényszerítéséhez.

  • Az Azure Key Vault felügyelt HSM-kulcsoknak lejárati dátummal kell rendelkezniük
  • Az Azure Key Vault RSA-titkosítást használó felügyelt HSM-kulcsoknak rendelkezniük kell egy meghatározott minimális kulcsméretkel
  • Az Azure Key Vault felügyelt HSM-kulcsoknak a lejárat előtt a megadott számú napnál többel kell rendelkezniük
  • Az Azure Key Vault háromliptikus görbe titkosítását használó felügyelt HSM-kulcsoknak a megadott görbenevekkel kell rendelkezniük

Ezt a műveletet az Azure CLI-vel is elvégezheti. Lásd: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azonosításához az Azure CLI-vel.

Telepítés tesztelése

Próbáljon meg frissíteni/létrehozni egy olyan kulcsot, amely megsérti a szabályt. Ha "Megtagadás" effektusú szabályzat-hozzárendeléssel rendelkezik, az 403-at ad vissza a kérésnek. Tekintse át a szabályzat-hozzárendelések naplózási kulcsainak vizsgálati eredményét. 12 óra elteltével ellenőrizze a Szabályzat megfelelősége menüt, szűrjön a "Key Vault" kategóriára, és keresse meg a hozzárendeléseket. Jelölje ki mindegyiket a megfelelőségi eredmény jelentésének ellenőrzéséhez.

Hibaelhárítás

Ha a készlet egy nap után nem rendelkezik megfelelőségi eredménnyel. Ellenőrizze, hogy a szerepkör-hozzárendelés sikeresen befejeződött-e a 2. lépésben. A 2. lépés nélkül a kulcsszabályozási szolgáltatás nem fog tudni hozzáférni a kulcs metaadataihoz. Az Azure CLI-parancs az keyvault role assignment list képes ellenőrizni, hogy a szerepkör hozzá lett-e rendelve.

Következő lépések