Hozzáférés-vezérlés felügyelt HSM-hez
Az Azure Key Vault felügyelt HSM egy felhőszolgáltatás, amely védi a titkosítási kulcsokat. Mivel ezek az adatok bizalmasak és kritikus fontosságúak a vállalat számára, a felügyelt hardveres biztonsági modulokat (HSM-eket) úgy kell biztonságossá tenni, hogy csak az arra jogosult alkalmazások és felhasználók férhetnek hozzá az adatokhoz.
Ez a cikk áttekintést nyújt a felügyelt HSM hozzáférés-vezérlési modelljéről. Ismerteti a hitelesítést és az engedélyezést, valamint ismerteti a felügyelt HSM-ekhez való hozzáférés biztonságossá tételét.
Megjegyzés:
Az Azure Key Vault erőforrás-szolgáltató két erőforrástípust támogat: tárolókat és felügyelt HSM-eket. A cikkben ismertetett hozzáférés-vezérlés csak felügyelt HSM-ekre vonatkozik. A felügyelt HSM hozzáférés-vezérléséről további információt a Key Vault kulcsainak, tanúsítványainak és titkos kulcsainak azure-beli szerepköralapú hozzáférés-vezérléssel való elérésének biztosítása című témakörben talál.
Hozzáférés-vezérlési modell
A felügyelt HSM-hez való hozzáférést két felületen lehet szabályozni:
- Felügyeleti sík
- Data plane
A felügyeleti síkon magát a HSM-et kell felügyelnie. Ebben a síkban a műveletek közé tartozik a felügyelt HSM-ek létrehozása és törlése, valamint a felügyelt HSM-tulajdonságok lekérése.
Az adatsíkon a felügyelt HSM-ben tárolt adatokkal dolgozik. Ez azt jelzi, hogy a HSM által támogatott titkosítási kulcsokkal dolgozik. Kulcsok hozzáadásával, törlésével, módosításával és használatával titkosítási műveleteket hajthat végre, szerepkör-hozzárendeléseket kezelhet a kulcsokhoz való hozzáférés szabályozásához, teljes HSM-biztonsági mentést hozhat létre, visszaállíthatja a teljes biztonsági mentést, és kezelheti a biztonsági tartományt az adatsík felületéről.
A felügyelt HSM mindkét síkon való eléréséhez minden hívónak megfelelő hitelesítéssel és engedélyezéssel kell rendelkeznie. A hitelesítés létrehozza a hívó identitását. Az engedélyezés határozza meg, hogy a hívó milyen műveleteket hajthat végre. A hívó a Microsoft Entra-azonosítóban definiált biztonsági tagok bármelyike lehet: felhasználó, csoport, szolgáltatásnév vagy felügyelt identitás.
Mindkét sík a Microsoft Entra-azonosítót használja a hitelesítéshez. Az engedélyezéshez különböző rendszereket használnak:
- A felügyeleti sík az Azure Resource Managerre épülő azure-beli szerepköralapú hozzáférés-vezérlést (Azure RBAC) használja.
- Az adatsík egy felügyelt HSM szintű RBAC-t (felügyelt HSM helyi RBAC-t) használ, egy engedélyezési rendszert, amely a felügyelt HSM szintjén van implementálva és kényszerítve.
Felügyelt HSM létrehozásakor a kérelmező megadja az adatsík-rendszergazdák listáját (az összes biztonsági tag támogatott). Csak ezek a rendszergazdák férhetnek hozzá a felügyelt HSM-adatsíkhoz a kulcsműveletek végrehajtásához és az adatsík szerepkör-hozzárendeléseinek kezeléséhez (felügyelt HSM helyi RBAC).
Mindkét sík engedélymodelljei ugyanazt a szintaxist használják, de különböző szinteken vannak kényszerítve, a szerepkör-hozzárendelések pedig különböző hatóköröket használnak. Az Azure RBAC felügyeleti síkot az Azure Resource Manager, a felügyelt HSM helyi RBAC-t pedig maga a felügyelt HSM kényszeríti ki.
Fontos
Ha a felügyeleti síknak hozzáférést ad egy biztonsági taghoz, az nem biztosít hozzáférést a biztonsági fő adatsíkhoz. Egy felügyeletisík-hozzáféréssel rendelkező biztonsági tag például nem rendelkezik automatikusan hozzáféréssel a kulcsokhoz vagy az adatsík szerepkör-hozzárendeléseihez. Ez az elkülönítés terv szerint történik, hogy megakadályozza a felügyelt HSM-ben tárolt kulcsokhoz való hozzáférést befolyásoló jogosultságok véletlen kiterjesztését.
Van azonban egy kivétel: A Microsoft Entra Global Rendszergazda istrator szerepkör tagjai helyreállítási célból bármikor hozzáadhatnak felhasználókat a felügyelt HSM Rendszergazda istrator szerepkörhöz, például ha már nincsenek érvényes felügyelt HSM-Rendszergazda istrator-fiókok. További információkért tekintse meg a Microsoft Entra ID ajánlott eljárásait a globális Rendszergazda strator szerepkör biztonságossá tételéhez.
Az előfizetés rendszergazdája például (mivel közreműködői engedéllyel rendelkezik az előfizetés összes erőforrásához) törölheti az előfizetésében lévő felügyelt HSM-et. Ha azonban nem rendelkeznek kifejezetten a felügyelt HSM helyi RBAC-vel biztosított adatsík-hozzáféréssel, akkor nem férhetnek hozzá kulcsokhoz, és nem kezelhetik a szerepkör-hozzárendeléseket a felügyelt HSM-ben, hogy hozzáférést biztosítsanak maguknak vagy másoknak az adatsíkhoz.
Microsoft Entra authentication
Ha felügyelt HSM-et hoz létre egy Azure-előfizetésben, a felügyelt HSM automatikusan társítva lesz az előfizetés Microsoft Entra-bérlőjével. A felügyelt HSM eléréséhez mindkét sík összes hívóját regisztrálni kell ebben a bérlőben, és hitelesíteni kell.
Az alkalmazás a két sík hívása előtt hitelesíti a Microsoft Entra-azonosítót. Az alkalmazás az alkalmazás típusától függően bármilyen támogatott hitelesítési módszert használhat. Az alkalmazás jogkivonatot szerez be a síkban lévő erőforráshoz a hozzáféréshez. Az erőforrás az Azure-környezettől függően a felügyeleti sík vagy az adatsík végpontja. Az alkalmazás a jogkivonatot használja, és rest API-kérést küld a felügyelt HSM-végpontnak. További információkért tekintse át a teljes hitelesítési folyamatot.
A két sík egyetlen hitelesítési mechanizmusának használata számos előnnyel jár:
- A szervezetek központilag szabályozhatják a szervezet összes felügyelt HSM-éhez való hozzáférést.
- Ha egy felhasználó elhagyja a szervezetet, azonnal elveszíti a hozzáférést a szervezet összes felügyelt HSM-éhez.
- A szervezetek a Microsoft Entra ID beállításaival testre szabhatják a hitelesítést, például engedélyezhetik a többtényezős hitelesítést a hozzáadott biztonság érdekében.
Erőforrásvégpontok
A biztonsági tagok végpontokon keresztül érik el a síkokat. A két sík hozzáférési vezérlői egymástól függetlenül működnek. Ha hozzáférést szeretne adni egy alkalmazásnak a kulcsok használatához egy felügyelt HSM-ben, az adatsíkhoz való hozzáférést a felügyelt HSM helyi RBAC használatával kell megadnia. Ha hozzáférést szeretne adni egy felhasználónak a felügyelt HSM-erőforráshoz a felügyelt HSM-erőforrások létrehozásához, olvasásához, törléséhez, áthelyezéséhez és más tulajdonságok és címkék szerkesztéséhez, használja az Azure RBAC-t.
Az alábbi táblázat a felügyeleti sík és az adatsík végpontjait mutatja be.
| Hozzáférési sík | Hozzáférés végpontjai | Operations | Hozzáférés-vezérlési mechanizmus |
|---|---|---|---|
| Felügyeleti sík | Globálisan:management.azure.com:443 |
Felügyelt HSM-k létrehozása, olvasása, frissítése, törlése és áthelyezése Felügyelt HSM-címkék beállítása |
Azure RBAC |
| Data plane | Globálisan:<hsm-name>.managedhsm.azure.net:443 |
Kulcsok: Visszafejtés, titkosítás, unwrap, wrap, verify, sign, get, list, update, create, import, delete, back up, restore, purge Adatsík szerepkörkezelése (felügyelt HSM helyi RBAC): Szerepkördefiníciók listázása, szerepkörök hozzárendelése, szerepkör-hozzárendelések törlése, egyéni szerepkörök definiálása Biztonsági mentés és visszaállítás: Biztonsági mentés, visszaállítás, biztonsági mentési és visszaállítási műveletek állapotának ellenőrzése Biztonsági tartomány: A biztonsági tartomány letöltése és feltöltése |
Felügyelt HSM helyi RBAC |
Felügyeleti sík és Azure RBAC
A felügyeleti síkon az Azure RBAC használatával engedélyezheti a hívó által végrehajtható műveleteket. Az Azure RBAC-modellben minden Azure-előfizetés rendelkezik a Microsoft Entra ID-példányával. A címtárból hozzáférést adhat a felhasználóknak, csoportoknak és alkalmazásoknak. A hozzáférés az Azure Resource Manager-alapú üzemi modellt használó előfizetési erőforrások kezeléséhez érhető el. A hozzáférés biztosításához használja az Azure Portalt, az Azure CLI-t, az Azure PowerShellt vagy az Azure Resource Manager REST API-kat.
Kulcstartót hozhat létre egy erőforráscsoportban, és a Microsoft Entra ID használatával kezelheti a hozzáférést. Lehetővé teszi a felhasználóknak vagy csoportoknak az erőforráscsoport kulcstartóinak kezelését. A hozzáférést egy adott hatókör szintjén adja meg a megfelelő Azure-szerepkörök hozzárendelésével. Ha hozzáférést szeretne adni egy felhasználónak a kulcstartók kezeléséhez, egy előre meghatározott key vault Contributor szerepkört rendelhet hozzá a felhasználóhoz egy adott hatókörben. Az azure-szerepkörhöz a következő hatókörszintek rendelhetők hozzá:
- Felügyeleti csoport: Az előfizetés szintjén hozzárendelt Azure-szerepkör az adott felügyeleti csoport összes előfizetésére vonatkozik.
- Előfizetés: Az előfizetés szintjén hozzárendelt Azure-szerepkör az előfizetésen belüli összes erőforráscsoportra és erőforrásra vonatkozik.
- Erőforráscsoport: Az erőforráscsoport szintjén hozzárendelt Azure-szerepkör az adott erőforráscsoport összes erőforrására vonatkozik.
- Adott erőforrás: Az adott erőforráshoz hozzárendelt Azure-szerepkör az adott erőforrásra vonatkozik. Ebben az esetben az erőforrás egy adott kulcstartó.
Számos szerepkör előre definiálva van. Ha egy előre definiált szerepkör nem felel meg az igényeinek, saját szerepkört is meghatározhat. További információ: Azure RBAC: Beépített szerepkörök.
Adatsík és felügyelt HSM helyi RBAC
Egy adott kulcsművelet végrehajtásához hozzáférést biztosít egy biztonsági tagnak egy szerepkör hozzárendelésével. Minden szerepkör-hozzárendeléshez meg kell adnia egy szerepkört és hatókört, amelyre a hozzárendelés vonatkozik. Felügyelt HSM helyi RBAC esetén két hatókör érhető el:
/vagy/keys: HSM-szintű hatókör. Az ebben a hatókörben szerepkörrel rendelkező biztonsági tagok végrehajthatják a szerepkörben definiált műveleteket a felügyelt HSM összes objektumához (kulcsához)./keys/<key-name>: Kulcsszintű hatókör. Az ebben a hatókörben szerepkörrel rendelkező biztonsági tagok csak a megadott kulcs összes verziójára vonatkozóan hajthatják végre az ebben a szerepkörben meghatározott műveleteket.
Következő lépések
- A rendszergazda első lépésekre vonatkozó oktatóanyagát a Mi a felügyelt HSM? című témakörben találhatja meg.
- Szerepkörkezelési oktatóanyagért tekintse meg a felügyelt HSM helyi RBAC-t.
- A felügyelt HSM használati naplózásáról további információt a felügyelt HSM-naplózás című témakörben talál.