Kontrol akses untuk HSM Terkelola
Azure Key Vault Managed HSM adalah layanan cloud yang melindungi kunci enkripsi. Karena data ini sensitif dan penting bagi bisnis Anda, Anda perlu mengamankan modul keamanan perangkat keras terkelola (HSM) dengan hanya mengizinkan aplikasi dan pengguna yang berwenang untuk mengakses data.
Artikel ini menyediakan gambaran umum model kontrol akses Managed HSM. Ini menjelaskan otentikasi dan otorisasi, dan menjelaskan cara mengamankan akses ke HSM terkelola Anda.
Catatan
Penyedia sumber daya Azure Key Vault mendukung dua jenis sumber daya: vault dan HSM terkelola. Kontrol akses yang dijelaskan dalam artikel ini hanya berlaku untuk HSM terkelola. Untuk mempelajari selengkapnya tentang kontrol akses untuk HSM Terkelola, lihat Menyediakan akses ke kunci Key Vault, sertifikat, dan rahasia dengan kontrol akses berbasis peran Azure.
Model kontrol akses
Akses ke HSM terkelola dikontrol melalui dua antarmuka:
- Manajemen plane
- Pesawat data
Pada bidang manajemen, Anda mengelola HSM itu sendiri. Operasi dalam bidang ini termasuk membuat dan menghapus HSM terkelola dan mengambil properti HSM terkelola.
Pada bidang data, Anda bekerja dengan data yang disimpan di HSM terkelola. Artinya, Anda bekerja dengan kunci enkripsi yang didukung HSM. Anda dapat menambahkan, menghapus, memodifikasi, dan menggunakan kunci untuk melakukan operasi kriptografi, mengelola penetapan peran untuk mengontrol akses ke kunci, membuat cadangan HSM lengkap, memulihkan cadangan penuh, dan mengelola domain keamanan dari antarmuka data plane.
Untuk mengakses HSM terkelola di salah satu bidang, semua pemanggil harus memiliki autentikasi dan otorisasi yang tepat. Autentikasi menetapkan identitas pemanggil. Otorisasi menentukan operasi mana yang dapat dijalankan pemanggil. Pemanggil dapat menjadi salah satu prinsip keamanan yang ditentukan dalam ID Microsoft Entra: pengguna, grup, perwakilan layanan, atau identitas terkelola.
Kedua bidang menggunakan ID Microsoft Entra untuk autentikasi. Untuk otorisasi, mereka menggunakan sistem yang berbeda:
- Bidang manajemen menggunakan kontrol akses berbasis peran Azure (Azure RBAC), sistem otorisasi yang dibangun di Azure Resource Manager.
- Bidang data menggunakan RBAC tingkat HSM terkelola (RBAC lokal HSM Terkelola), sistem otorisasi yang diterapkan dan diberlakukan pada tingkat HSM terkelola.
Saat HSM terkelola dibuat, pemohon menyediakan daftar administrator sarana data (semua prinsip keamanan didukung). Hanya administrator ini yang dapat mengakses data plane HSM terkelola untuk melakukan operasi utama dan mengelola penetapan peran bidang data (RBAC lokal HSM Terkelola).
Model izin untuk kedua bidang menggunakan sintaks yang sama, tetapi diberlakukan pada tingkat yang berbeda, dan penetapan peran menggunakan cakupan yang berbeda. Bidang manajemen Azure RBAC diberlakukan oleh Azure Resource Manager, dan RBAC lokal HSM Terkelola sarana data diberlakukan oleh HSM terkelola itu sendiri.
Penting
Memberikan akses sarana manajemen ke perwakilan keamanan tidak memberikan akses sarana data utama keamanan. Misalnya, perwakilan keamanan dengan akses bidang manajemen tidak secara otomatis memiliki akses ke kunci atau penetapan peran bidang data. Isolasi ini dirancang, untuk mencegah perluasan hak istimewa yang tidak disengaja yang memengaruhi akses ke kunci yang disimpan di HSM Terkelola.
Tetapi ada pengecualian: Anggota peran Administrator Global Microsoft Entra selalu dapat menambahkan pengguna ke peran Administrator HSM Terkelola untuk tujuan pemulihan, seperti ketika tidak ada lagi akun Administrator HSM Terkelola yang valid. Untuk informasi selengkapnya, lihat Praktik terbaik ID Microsoft Entra untuk mengamankan peran Adminstrator Global.
Misalnya, administrator langganan (karena mereka memiliki izin Kontributor ke semua sumber daya dalam langganan) dapat menghapus HSM terkelola dalam langganan mereka. Tetapi jika mereka tidak memiliki akses sarana data yang secara khusus diberikan melalui RBAC lokal HSM Terkelola, mereka tidak dapat memperoleh akses ke kunci atau mengelola penetapan peran di HSM terkelola untuk memberi diri mereka sendiri atau orang lain akses ke bidang data.
Autentikasi Microsoft Entra
Saat Anda membuat HSM terkelola dalam langganan Azure, HSM terkelola secara otomatis dikaitkan dengan penyewa Microsoft Entra langganan. Semua pemanggil di kedua bidang harus terdaftar di penyewa ini dan melakukan autentikasi untuk mengakses HSM terkelola.
Aplikasi mengautentikasi dengan ID Microsoft Entra sebelum memanggil salah satu bidang. Aplikasi dapat menggunakan metode autentikasi yang didukung tergantung pada jenis aplikasi. Aplikasi ini memperoleh token untuk sumber daya di bidang untuk memberikan akses. Sumber daya adalah titik akhir di bidang manajemen atau bidang data, tergantung pada lingkungan Azure. Aplikasi ini menggunakan token dan mengirim permintaan REST API ke titik akhir HSM terkelola. Untuk mempelajari lebih lanjut, tinjau seluruh alur autentikasi.
Menggunakan mekanisme autentikasi tunggal untuk kedua bidang memiliki beberapa manfaat:
- Organisasi dapat mengontrol akses secara terpusat ke semua HSM terkelola di organisasi mereka.
- Jika pengguna meninggalkan organisasi, mereka langsung kehilangan akses ke semua HSM terkelola di organisasi.
- Organisasi dapat menyesuaikan autentikasi dengan menggunakan opsi di ID Microsoft Entra, seperti mengaktifkan autentikasi multifaktor untuk keamanan tambahan.
Titik akhir sumber daya
Prinsipal keamanan mengakses bidang melalui titik akhir. Kontrol akses untuk kedua sarana bekerja secara mandiri. Untuk memberikan akses aplikasi untuk menggunakan kunci dalam HSM terkelola, Anda memberikan akses sarana data dengan menggunakan RBAC lokal HSM Terkelola. Untuk memberikan akses pengguna ke sumber daya HSM Terkelola untuk membuat, membaca, menghapus, memindahkan HSM terkelola dan mengedit properti dan tag lain, Anda menggunakan Azure RBAC.
Tabel berikut ini memperlihatkan titik akhir untuk bidang manajemen dan bidang data.
| Bidang akses | Mengakses titik akhir | Operasional | Mengakses mekanisme kontrol |
|---|---|---|---|
| Manajemen plane | Global:management.azure.com:443 |
Membuat, membaca, memperbarui, menghapus, dan memindahkan HSM terkelola Mengelola tag HSM terkelola |
Azure RBAC |
| Pesawat data | Global:<hsm-name>.managedhsm.azure.net:443 |
Kunci: Dekripsi, enkripsi, membongkar, membungkus, memverifikasi, menandatangani, mendapatkan, daftar, memperbarui, membuat, mengimpor, menghapus, mencadangkan, memulihkan, membersihkan Manajemen peran sarana data (RBAC lokal HSM Terkelola): Mencantumkan definisi peran, menetapkan peran, menghapus penetapan peran, menentukan peran kustom Pencadangan dan pemulihan: Mencadangkan, memulihkan, memeriksa status operasi pencadangan dan pemulihan Domain keamanan: Mengunduh dan mengunggah domain keamanan |
RBAC lokal Managed HSM |
Bidang manajemen dan Azure RBAC
Di bidang manajemen, Anda menggunakan Azure RBAC untuk mengotorisasi operasi yang dapat dijalankan pemanggil. Dalam model Azure RBAC, setiap langganan Azure memiliki instans ID Microsoft Entra. Anda memberikan akses ke pengguna, grup, dan aplikasi dari direktori ini. Akses diberikan untuk mengelola sumber daya langganan yang menggunakan model penyebaran Azure Resource Manager. Untuk memberikan akses, gunakan API REST portal Azure, Azure CLI, Azure PowerShell, atau Azure Resource Manager.
Anda membuat brankas kunci dalam grup sumber daya dan mengelola akses dengan menggunakan ID Microsoft Entra. Anda memberi pengguna atau grup kemampuan untuk mengelola key vault dalam grup sumber daya. Anda dapat memberikan akses pada tingkat cakupan tertentu dengan menetapkan peran Azure yang sesuai. Untuk memberikan akses ke pengguna guna mengelola key vault, Anda menetapkan peran key vault Contributor yang telah ditentukan sebelumnya kepada pengguna pada lingkup tertentu. Tingkat cakupan berikut dapat ditetapkan ke peran Azure:
- Grup manajemen: Peran Azure yang ditetapkan di tingkat langganan berlaku untuk semua langganan di grup manajemen tersebut.
- Langganan: Peran Azure yang ditetapkan di tingkat langganan berlaku untuk semua grup sumber daya dan sumber daya dalam langganan tersebut.
- Grup sumber daya: Peran Azure yang ditetapkan di tingkat grup sumber daya berlaku untuk semua sumber daya dalam grup sumber daya tersebut.
- Sumber daya tertentu: Peran Azure yang ditetapkan untuk sumber daya tertentu berlaku untuk sumber daya tersebut. Dalam hal ini, sumber daya adalah brankas kunci tertentu.
Beberapa peran telah ditentukan sebelumnya. Jika peran yang telah ditentukan sebelumnya tidak sesuai dengan kebutuhan Anda, Anda dapat menentukan peran Anda sendiri. Untuk informasi selengkapnya, lihat Azure RBAC: Peran bawaan.
Bidang data dan RBAC lokal Managed HSM
Anda memberikan akses prinsipal keamanan untuk menjalankan operasi kunci tertentu dengan menetapkan peran. Untuk setiap penetapan peran, Anda harus menentukan peran dan cakupan yang penetapannya berlaku. Untuk RBAC lokal HSM Terkelola, tersedia dua cakupan:
/atau/keys: Cakupan tingkat HSM. Prinsip keamanan yang diberi peran pada cakupan ini dapat melakukan operasi yang ditentukan dalam peran untuk semua objek (kunci) di HSM terkelola./keys/<key-name>: Cakupan tingkat kunci. Prinsip keamanan yang diberi peran pada cakupan ini dapat melakukan operasi yang ditentukan dalam peran ini untuk semua versi kunci yang ditentukan saja.
Langkah berikutnya
- Untuk tutorial memulai untuk administrator, lihat Apa itu HSM Terkelola?.
- Untuk tutorial manajemen peran, lihat RBAC lokal HSM terkelola.
- Untuk informasi selengkapnya tentang pengelogan penggunaan untuk HSM Terkelola, lihat Pengelogan HSM Terkelola.