Mengintegrasikan Azure Key Vault dengan Azure Policy

Azure Policy adalah alat tata kelola yang memberi pengguna kemampuan untuk mengaudit dan mengelola lingkungan Azure mereka dalam skala besar. Azure Policy menyediakan kemampuan untuk menempatkan pagar pembatas pada sumber daya Azure untuk memastikan pengguna mematuhi aturan kebijakan yang ditetapkan. Ini memungkinkan pengguna untuk melakukan audit, penegakan real time, dan remediasi lingkungan Azure mereka. Hasil audit yang dilakukan oleh kebijakan akan tersedia untuk pengguna di dasbor kepatuhan di mana mereka akan dapat melihat penelusuran paling detail sumber daya dan komponen mana yang sesuai dan mana yang tidak. Untuk informasi selengkapnya, lihat Gambaran Umum layanan Azure Policy.

Contoh Skenario Penggunaan:

• Anda ingin meningkatkan postur keamanan perusahaan Anda dengan menerapkan persyaratan seputar ukuran kunci minimum dan periode validitas maksimum sertifikat di brankas kunci perusahaan Anda, tetapi Anda tidak tahu tim mana yang akan patuh dan mana yang tidak.
• Saat ini Anda tidak memiliki solusi untuk melakukan audit di seluruh organisasi Anda, atau Anda sedang melakukan audit manual terhadap lingkungan Anda dengan meminta tim individual dalam organisasi Anda untuk melaporkan kepatuhan mereka. Anda sedang mencari cara untuk mengotomatiskan tugas ini, melakukan audit secara real time, dan menjamin akurasi audit.
• Anda ingin menerapkan kebijakan keamanan perusahaan dan menghentikan individu membuat sertifikat yang ditandatangani sendiri, tetapi Anda tidak memiliki cara otomatis untuk memblokir pembuatannya.
• Anda ingin melonggarkan beberapa persyaratan untuk tim uji Anda, tetapi Anda ingin mempertahankan kontrol ketat atas lingkungan produksi Anda. Anda memerlukan cara otomatis sederhana untuk memisahkan penegakan sumber daya Anda.
• Anda ingin memastikan bahwa Anda dapat mengembalikan penegakan kebijakan baru jika terjadi masalah situs langsung. Anda memerlukan solusi satu klik untuk menonaktifkan penegakan kebijakan.
• Anda mengandalkan solusi pihak ke-3 untuk mengaudit lingkungan Anda dan Anda ingin menggunakan penawaran internal Microsoft.

Jenis efek dan panduan kebijakan

Audit: Ketika efek kebijakan diatur ke audit, kebijakan tidak akan menyebabkan perubahan yang melanggar lingkungan Anda. Ini hanya akan memperingatkan Anda pada komponen seperti sertifikat yang tidak mematuhi definisi kebijakan dalam lingkup yang ditentukan, dengan menandai komponen-komponen ini sebagai tidak patuh di dasbor kepatuhan kebijakan. Audit adalah default jika tidak ada efek kebijakan yang dipilih.

Tolak: Ketika efek kebijakan diatur ke tolak, kebijakan akan memblokir pembuatan komponen baru seperti sertifikat serta memblokir versi baru komponen yang ada yang tidak patuh dengan definisi kebijakan. Sumber daya yang tidak kompatibel yang ada dalam brankas kunci tidak terpengaruh. Kemampuan 'audit' akan terus beroperasi.

Definisi Azure Policy “Bawaan” Yang Tersedia

Key Vault telah membuat serangkaian kebijakan, yang dapat digunakan untuk mengelola brankas kunci dan kuncinya, sertifikat, dan objek rahasianya. Kebijakan ini adalah 'Bawaan', yang berarti tidak mengharuskan Anda menulis JSON kustom apa pun untuk mengaktifkannya dan tersedia di portal Microsoft Azure untuk Anda tetapkan. Anda masih dapat menyesuaikan parameter tertentu agar sesuai dengan kebutuhan organisasi Anda.

Kebijakan Sertifikat

Mengelola sertifikat yang berada dalam jumlah hari kedaluwarsa yang ditentukan

Layanan Anda dapat mengalami ketidaktersediaan jika sertifikat yang tidak sedang dipantau secara memadai tidak diputar sebelum kedaluwarsa. Kebijakan ini sangat penting untuk memastikan bahwa sertifikat Anda yang disimpan dalam brankas kunci sedang dipantau. Disarankan agar Anda menerapkan kebijakan ini beberapa kali dengan ambang kedaluwarsa yang berbeda, misalnya, pada ambang 180, 90, 60, dan 30 hari. Kebijakan ini dapat digunakan untuk memantau dan melakukan triase kedaluwarsa sertifikat di organisasi Anda.

Sertifikat harus memiliki pemicu tindakan seumur hidup yang ditetapkan

Kebijakan ini memungkinkan Anda untuk mengelola tindakan seumur hidup yang ditentukan untuk sertifikat yang berada dalam jumlah hari tertentu dari masa kedaluwarsa atau telah mencapai persentase tertentu dari masa pakainya.

Sertifikat harus menggunakan jenis kunci yang diizinkan

Kebijakan ini memungkinkan Anda membatasi jenis sertifikat yang dapat berada di brankas kunci Anda. Anda dapat menggunakan kebijakan ini untuk memastikan bahwa kunci privat sertifikat Anda didukung RSA, ECC, atau HSM. Anda bisa memilih dari daftar jenis sertifikat mana yang diizinkan di bawah ini.

• RSA
• RSA - HSM
• ECC
• ECC - HSM

Sertifikat harus diterbitkan oleh otoritas sertifikat terintegrasi yang ditetapkan

Jika Anda menggunakan otoritas sertifikat terpadu Key Vault (Digicert atau GlobalSign) dan Anda ingin pengguna menggunakan satu atau salah satu penyedia ini, Anda dapat menggunakan kebijakan ini untuk mengaudit atau menegakkan pilihan Anda. Kebijakan ini akan mengevaluasi CA yang dipilih dalam kebijakan penerbitan sertifikat dan penyedia CA yang ditentukan dalam key vault. Kebijakan ini juga dapat digunakan untuk mengaudit atau menolak pembuatan sertifikat yang ditandatangani sendiri di brankas kunci.

Sertifikat harus diterbitkan oleh otoritas sertifikat non-terintegrasi yang ditetapkan

Jika Anda menggunakan otoritas sertifikat internal atau otoritas sertifikat yang tidak terintegrasi dengan brankas kunci dan Anda ingin pengguna menggunakan otoritas sertifikat dari daftar yang Anda sediakan, Anda dapat menggunakan kebijakan ini untuk membuat daftar otoritas sertifikat yang diizinkan berdasarkan nama pengeluar sertifikat. Kebijakan ini juga dapat digunakan untuk mengaudit atau menolak pembuatan sertifikat yang ditandatangani sendiri di brankas kunci.

Sertifikat yang menggunakan kriptografi kurva elips harus memiliki nama kurva yang diizinkan

Jika Anda menggunakan kriptografi kurva elips atau sertifikat ECC, Anda dapat menyesuaikan daftar nama kurva yang diizinkan dari daftar di bawah ini. Opsi default mengizinkan semua nama kurva berikut.

• P-256
• P-256K
• P-384
• P-521

Sertifikat yang menggunakan kriptografi RSA mengelola ukuran kunci minimum untuk sertifikat RSA

Jika Anda menggunakan sertifikat RSA, Anda dapat memilih ukuran kunci minimum yang harus dimiliki sertifikat Anda. Anda dapat memilih satu opsi dari daftar di bawah ini.

• 2048 bit
• 3072 bit
• 4096 bit

Sertifikat harus memiliki periode validitas maksimum yang ditentukan (pratinjau)

Kebijakan ini memungkinkan Anda mengelola periode validitas maksimum sertifikat yang disimpan dalam brankas kunci. Ini adalah praktik keamanan yang baik untuk membatasi periode validitas maksimum sertifikat Anda. Jika kunci privat sertifikat Anda disusupi tanpa deteksi, menggunakan sertifikat berumur pendek mengecilkan jangka waktu untuk kerusakan yang sedang berlangsung dan mengurangi nilai sertifikat bagi penyerang.

Kebijakan Kunci

Kunci tidak boleh aktif lebih lama dari jumlah hari yang ditentukan

Jika Anda ingin memastikan bahwa kunci Anda belum aktif lebih lama dari jumlah hari yang ditentukan, Anda dapat menggunakan kebijakan ini untuk mengaudit berapa lama kunci Anda telah aktif.

Jika kunci Anda memiliki tanggal aktivasi yang ditetapkan, kebijakan ini akan menghitung jumlah hari yang telah berlalu sejak tanggal aktivasi kunci hingga tanggal saat ini. Jika jumlah hari melebihi ambang yang Anda tetapkan, kunci akan ditandai sebagai tidak mematuhi kebijakan.

Jika kunci Anda memiliki tanggal aktivasi yang ditetapkan, kebijakan ini akan menghitung jumlah hari yang telah berlalu sejak tanggal aktivasi kunci hingga tanggal saat ini. Jika jumlah hari melebihi ambang yang Anda tetapkan, kunci akan ditandai sebagai tidak mematuhi kebijakan.

Kunci harus berupa RSA atau EC jenis kriptografi yang ditentukan

Kebijakan ini memungkinkan Anda membatasi jenis kunci yang dapat berada di brankas kunci Anda. Anda dapat menggunakan kebijakan ini untuk memastikan bahwa kunci Anda didukung RSA, ECC, atau HSM. Anda bisa memilih dari daftar jenis sertifikat mana yang diizinkan di bawah ini.

• RSA
• RSA - HSM
• ECC
• ECC - HSM

Kunci yang menggunakan kriptografi kurva eliptik harus memiliki nama kurva yang ditentukan

Jika Anda menggunakan kriptografi kurva elips atau kunci ECC, Anda dapat menyesuaikan daftar nama kurva yang diizinkan dari daftar di bawah ini. Opsi default mengizinkan semua nama kurva berikut.

• P-256
• P-256K
• P-384
• P-521

Kunci harus memiliki tanggal kedaluwarsa yang ditetapkan

Kebijakan ini mengaudit semua kunci dalam brankas kunci dan menandai kunci yang tidak memiliki tanggal kedaluwarsa yang ditetapkan sebagai tidak patuh. Anda juga dapat menggunakan kebijakan ini untuk memblokir pembuatan kunci yang tidak memiliki tanggal kedaluwarsa yang ditetapkan.

Kunci harus memiliki lebih dari jumlah hari sebelum kedaluwarsa yang ditentukan

Jika kunci terlalu dekat dengan kedaluwarsa, penundaan organisasi untuk memutar kunci dapat mengakibatkan ketidaktersediaan. Kunci harus diputar pada jumlah hari yang ditentukan sebelum kedaluwarsa untuk memberikan waktu yang cukup untuk bereaksi terhadap kegagalan. Kebijakan ini akan mengaudit kunci yang terlalu dekat dengan tanggal kedaluwarsanya dan memungkinkan Anda untuk menetapkan ambang ini dalam beberapa hari. Anda juga dapat menggunakan kebijakan ini untuk mencegah pembuatan kunci baru yang terlalu dekat dengan tanggal kedaluwarsanya.

Kunci harus didukung oleh modul keamanan perangkat keras

HSM adalah modul keamanan perangkat keras yang menyimpan kunci. HSM menyediakan lapisan perlindungan fisik untuk kunci kriptografi. Kunci kriptografi tidak dapat meninggalkan HSM fisik yang memberikan tingkat keamanan yang lebih besar daripada kunci perangkat lunak. Beberapa organisasi memiliki persyaratan kepatuhan yang mengamanatkan penggunaan kunci HSM. Gunakan kebijakan ini untuk mengaudit kunci apa pun yang disimpan di brankas kunci Anda yang tidak didukung HSM. Anda juga dapat menggunakan kebijakan ini untuk memblokir pembuatan kunci baru yang tidak didukung HSM. Kebijakan ini akan berlaku untuk semua jenis kunci, RSA dan ECC.

Kunci yang menggunakan kriptografi RSA harus memiliki ukuran kunci minimum yang ditentukan

Menggunakan kunci RSA dengan ukuran kunci yang lebih kecil bukanlah praktik desain yang aman. Anda dapat tunduk pada standar audit dan sertifikasi yang mengamanatkan penggunaan ukuran kunci minimum. Kebijakan berikut ini memungkinkan Anda untuk menetapkan persyaratan ukuran kunci minimum pada brankas kunci Anda. Anda dapat mengaudit kunci yang tidak memenuhi persyaratan minimum ini. Kebijakan ini juga dapat digunakan untuk memblokir pembuatan kunci baru yang tidak memenuhi persyaratan ukuran kunci minimum.

Kunci harus memiliki periode validitas maksimum yang ditentukan

Kelola persyaratan kepatuhan organisasi Anda dengan menentukan jumlah waktu maksimum dalam hari kunci berstatus valid dalam brankas kunci Anda. Kunci yang valid lebih lama dari ambang yang Anda tetapkan akan ditandai sebagai tidak kompatibel. Anda juga dapat menggunakan kebijakan ini untuk memblokir pembuatan kunci baru yang memiliki tanggal kedaluwarsa yang ditetapkan lebih lama dari periode validitas maksimum yang Anda tentukan.

Kebijakan Rahasia

Rahasia tidak boleh aktif lebih lama dari jumlah hari yang ditentukan

Jika Anda ingin memastikan bahwa rahasia Anda belum aktif lebih lama dari jumlah hari yang ditentukan, Anda dapat menggunakan kebijakan ini untuk mengaudit berapa lama rahasia Anda telah aktif.

Jika rahasia Anda memiliki tanggal aktivasi yang ditetapkan, kebijakan ini akan menghitung jumlah hari yang telah berlalu sejak tanggal aktivasi rahasia hingga tanggal saat ini. Jika jumlah hari melebihi ambang yang Anda tetapkan, rahasia akan ditandai sebagai tidak mematuhi kebijakan.

Jika rahasia Anda tidak memiliki tanggal aktivasi yang ditetapkan, kebijakan ini akan menghitung jumlah hari yang telah berlalu sejak tanggal pembuatan rahasia hingga tanggal saat ini. Jika jumlah hari melebihi ambang yang Anda tetapkan, rahasia akan ditandai sebagai tidak mematuhi kebijakan.

Rahasia harus memiliki jenis konten yang ditetapkan

Setiap teks biasa atau file yang dikodekan dapat disimpan sebagai rahasia brankas kunci. Namun, organisasi Anda mungkin ingin menetapkan kebijakan rotasi dan pembatasan yang berbeda pada kata sandi, string koneksi, atau sertifikat yang disimpan sebagai kunci. Tag jenis konten dapat membantu pengguna melihat apa yang disimpan dalam objek rahasia tanpa membaca nilai rahasia tersebut. Anda dapat menggunakan kebijakan ini untuk mengaudit rahasia yang tidak memiliki tag jenis konten yang ditetapkan. Anda juga dapat menggunakan kebijakan ini untuk mencegah rahasia baru dibuat jika mereka tidak memiliki tag jenis konten yang ditetapkan.

Rahasia harus memiliki tanggal kedaluwarsa yang ditetapkan

Kebijakan ini mengaudit semua rahasia dalam brankas kunci dan menandai rahasia yang tidak memiliki tanggal kedaluwarsa yang ditetapkan sebagai tidak patuh. Anda juga dapat menggunakan kebijakan ini untuk memblokir pembuatan rahasia yang tidak memiliki tanggal kedaluwarsa yang ditetapkan.

Rahasia harus memiliki lebih dari jumlah hari sebelum kedaluwarsa yang ditentukan

Jika rahasia terlalu dekat dengan kedaluwarsa, penundaan organisasi untuk memutar rahasia dapat mengakibatkan ketidaktersediaan. Rahasia harus diputar pada jumlah hari yang ditentukan sebelum kedaluwarsa untuk memberikan waktu yang cukup untuk bereaksi terhadap kegagalan. Kebijakan ini akan mengaudit rahasia yang terlalu dekat dengan tanggal kedaluwarsanya dan memungkinkan Anda untuk menetapkan ambang ini dalam beberapa hari. Anda juga dapat menggunakan kebijakan ini untuk mencegah pembuatan rahasia baru yang terlalu dekat dengan tanggal kedaluwarsanya.

Rahasia harus memiliki periode validitas maksimum yang ditentukan

Kelola persyaratan kepatuhan organisasi Anda dengan menentukan jumlah waktu maksimum dalam hari rahasia berstatus valid dalam brankas kunci Anda. Rahasia yang valid lebih lama dari ambang yang Anda tetapkan akan ditandai sebagai tidak patuh. Anda juga dapat menggunakan kebijakan ini untuk memblokir pembuatan rahasia baru yang memiliki tanggal kedaluwarsa yang ditetapkan lebih lama dari periode validitas maksimum yang Anda tentukan.

Kebijakan Key Vault

Key Vault harus menggunakan titik akhir layanan jaringan virtual

Kebijakan ini mengaudit Key Vault apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual.

Log sumber daya di Key Vault harus diaktifkan

Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi

Brankas kunci harus mengaktifkan perlindungan hapus menyeluruh

Penghapusan berbahaya terhadap brankas kunci dapat menyebabkan kehilangan data permanen. Orang dalam berbahaya di organisasi Anda dapat berpotensi menghapus dan membersihkan brankas kunci. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan brankas kunci Anda selama periode penyimpanan penghapusan sementara.

Contoh Skenario

Anda mengelola brankas kunci yang digunakan oleh beberapa tim yang berisi 100 sertifikat, dan Anda ingin memastikan bahwa tidak ada sertifikat dalam brankas kunci tersebut yang valid selama lebih dari 2 tahun.

1. Anda menetapkan kebijakan Sertifikat harus memiliki periode validitas maksimum, menentukan bahwa periode validitas maksimum sertifikat adalah 24 bulan, dan mengatur efek kebijakan ke “audit”.
2. Anda melihat laporan kepatuhan di portal Microsoft Azure, dan menemukan bahwa 20 sertifikat tidak patuh dan valid selama > 2 tahun, dan sertifikat yang tersisa patuh.
3. Anda menghubungi pemilik sertifikat ini dan mengomunikasikan persyaratan keamanan baru bahwa sertifikat tidak dapat valid lebih dari 2 tahun. Beberapa tim merespons dan 15 sertifikat diperbarui dengan periode validitas maksimum 2 tahun atau kurang. Tim lain tidak merespons, dan Anda masih memiliki 5 sertifikat yang tidak patuh di brankas kunci Anda.
4. Anda mengubah efek kebijakan yang Anda tetapkan ke "tolak". 5 sertifikat yang tidak patuh tidak dicabut, dan terus berfungsi. Namun, sertifikat tersebut tidak dapat diperbarui dengan periode validitas yang lebih besar dari 2 tahun.

Mengaktifkan dan mengelola kebijakan Key Vault melalui portal Microsoft Azure

Pilih Definisi Azure Policy

1. Masuk ke portal Microsoft Azure.

2. Cari "Azure Policy" di Bilah Pencarian dan Pilih Kebijakan.

   

3. Di jendela Azure Policy, pilih Definisi.

   

4. Di Filter Kategori, Batalkan Pilihan Pilih Semua dan pilih Key Vault.

   

5. Sekarang Anda seharusnya dapat melihat semua kebijakan yang tersedia untuk Pratinjau Umum, untuk Azure Key Vault. Pastikan Anda telah membaca dan memahami bagian panduan kebijakan di atas dan memilih kebijakan yang ingin Anda tetapkan ke cakupan.

   

Menetapkan Azure Policy ke Cakupan

1. Pilih kebijakan yang ingin Anda terapkan, dalam contoh ini, kebijakan Kelola Periode Validitas Sertifikat ditampilkan. Klik tombol tetapkan di sudut kiri atas.

   

2. Pilih langganan di mana Anda ingin kebijakan diterapkan. Anda dapat memilih untuk membatasi cakupan hanya untuk satu grup sumber daya dalam satu langganan. Jika Anda ingin menerapkan kebijakan ke seluruh langganan dan mengecualikan beberapa grup sumber daya, Anda juga dapat mengonfigurasi daftar pengecualian. Atur pemilih penegakan kebijakan ke Diaktifkan jika Anda ingin efek kebijakan (audit atau tolak) terjadi atau Dinonaktifkan untuk mematikan efek (audit atau tolak).

   

3. Klik pada tab parameter di bagian atas layar untuk menentukan periode validitas maksimum dalam bulan yang Anda inginkan. Jika perlu memasukkan parameter, Anda dapat menghapus centang opsi 'Hanya perlihatkan parameter yang memerlukan input atau tinjauan'. Pilih audit atau tolak untuk efek kebijakan mengikuti panduan pada bagian di atas. Kemudian pilih tombol ulasan + buat.

   

Melihat Hasil kepatuhan

1. Kembali ke bilah Azure Policy dan pilih tab kepatuhan. Klik pada penetapan kebijakan yang ingin Anda lihat hasil kepatuhannya.

   

2. Dari halaman ini, Anda dapat memfilter hasil berdasarkan brankas yang patuh atau tidak patuh. Di sini Anda dapat melihat daftar brankas kunci yang tidak patuh dalam cakupan penetapan kebijakan. Brankas dianggap tidak patuh jika salah satu komponen (sertifikat) di brankas tidak patuh. Anda dapat memilih brankas individu untuk melihat masing-masing komponen yang tidak patuh (sertifikat).

   

3. Lihat nama komponen dalam brankas yang tidak patuh

   

4. Jika Anda perlu memeriksa apakah pengguna ditolak kemampuannya untuk membuat sumber daya dalam brankas kunci, Anda dapat mengeklik tab Peristiwa Komponen (pratinjau) untuk melihat ringkasan operasi sertifikat yang ditolak dengan pemohon dan tanda waktu permintaan.

   

Batasan Fitur

Menetapkan kebijakan dengan efek "tolak" memerlukan waktu hingga 30 menit (kasus rata-rata) dan 1 jam (kasus terburuk) untuk mulai menolak pembuatan sumber daya yang tidak patuh. Penundaan mengacu pada skenario berikut -

1. Kebijakan baru ditetapkan
2. Penugasan kebijakan yang sudah ada dimodifikasi
3. KeyVault (sumber daya) baru dibuat dalam cakupan dengan kebijakan yang ada.

Evaluasi kebijakan komponen yang ada dalam brankas memerlukan waktu hingga 1 jam (kasus rata-rata) dan 2 jam (kasus terburuk) sebelum hasil kepatuhan dapat dilihat di antarmuka pengguna portal. Jika hasil kepatuhan muncul sebagai "Belum Dimulai", hal tersebut dapat disebabkan oleh alasan berikut:

• Penilaian kebijakan belum selesai. Latensi evaluasi awal dapat memerlukan waktu hingga 2 jam dalam skenario terburuk.
• Tidak ada brankas kunci dalam cakupan penetapan kebijakan.
• Tidak ada brankas kunci dengan sertifikat dalam cakupan penetapan kebijakan.

Catatan

Mode Penyedia Sumber Azure Policy, seperti mode untuk Azure Key Vault, menyediakan informasi tentang kepatuhan pada halaman Kepatuhan Komponen.

Langkah berikutnya

• Pengelogan dan pertanyaan yang sering diajukan untuk kebijakan Azure untuk brankas kunci
• Pelajari selengkapnya tentang layanan Azure Policy
• Lihat sampel Key Vault: Definisi kebijakan bawaan Key Vault
• Pelajari tentang panduan Paduan Tolok Ukur Keamanan Azure di Key vault