Kontrola dostępu dla zarządzanego modułu HSM
Zarządzany moduł HSM usługi Azure Key Vault to usługa w chmurze, która chroni klucze szyfrowania. Ponieważ te dane są poufne i krytyczne dla twojej firmy, należy zabezpieczyć zarządzane moduły zabezpieczeń sprzętu (HSM), zezwalając tylko autoryzowanym aplikacjom i użytkownikom na dostęp do danych.
Ten artykuł zawiera omówienie modelu kontroli dostępu zarządzanego modułu HSM. Wyjaśniono w nim uwierzytelnianie i autoryzację oraz opisano sposób zabezpieczania dostępu do zarządzanych modułów HSM.
Uwaga
Dostawca zasobów usługi Azure Key Vault obsługuje dwa typy zasobów: magazyny i zarządzane moduły HSM. Kontrola dostępu opisana w tym artykule dotyczy tylko zarządzanych modułów HSM. Aby dowiedzieć się więcej na temat kontroli dostępu dla zarządzanego modułu HSM, zobacz Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault przy użyciu kontroli dostępu opartej na rolach platformy Azure.
Model kontroli dostępu
Dostęp do zarządzanego modułu HSM jest kontrolowany za pomocą dwóch interfejsów:
- Płaszczyzna zarządzania
- Płaszczyzna danych
Na płaszczyźnie zarządzania zarządzasz samym modułem HSM. Operacje na tej płaszczyźnie obejmują tworzenie i usuwanie zarządzanych modułów HSM oraz pobieranie zarządzanych właściwości modułu HSM.
Na płaszczyźnie danych pracujesz z danymi przechowywanymi w zarządzanym module HSM. Oznacza to, że pracujesz z kluczami szyfrowania opartymi na module HSM. Możesz dodawać, usuwać, modyfikować i używać kluczy do wykonywania operacji kryptograficznych, zarządzania przypisaniami ról w celu kontrolowania dostępu do kluczy, tworzenia pełnej kopii zapasowej modułu HSM, przywracania pełnej kopii zapasowej i zarządzania domeną zabezpieczeń z interfejsu płaszczyzny danych.
Aby uzyskać dostęp do zarządzanego modułu HSM w obu płaszczyznach, wszyscy wywołujący muszą mieć odpowiednie uwierzytelnianie i autoryzację. Uwierzytelnianie ustanawia tożsamość obiektu wywołującego. Autoryzacja określa, które operacje może wykonywać obiekt wywołujący. Obiekt wywołujący może być jednym z podmiotów zabezpieczeń zdefiniowanych w identyfikatorze Entra firmy Microsoft: użytkownik, grupa, jednostka usługi lub tożsamość zarządzana.
Obie płaszczyzny używają identyfikatora Entra firmy Microsoft do uwierzytelniania. W przypadku autoryzacji używają różnych systemów:
- Płaszczyzna zarządzania korzysta z kontroli dostępu opartej na rolach (RBAC) platformy Azure, czyli systemu autoryzacji opartego na usłudze Azure Resource Manager.
- Płaszczyzna danych używa zarządzanej kontroli RBAC na poziomie modułu HSM (zarządzanego lokalnego RBAC modułu HSM), systemu autoryzacji implementowanego i wymuszanego na poziomie zarządzanego modułu HSM.
Po utworzeniu zarządzanego modułu HSM obiekt żądającego udostępnia listę administratorów płaszczyzny danych (obsługiwane są wszystkie podmioty zabezpieczeń). Tylko ci administratorzy mogą uzyskiwać dostęp do zarządzanej płaszczyzny danych HSM w celu wykonywania kluczowych operacji i zarządzania przypisaniami ról płaszczyzny danych (zarządzana kontrola dostępu oparta na rolach w module HSM).
Modele uprawnień dla obu płaszczyzn używają tej samej składni, ale są wymuszane na różnych poziomach, a przypisania ról używają różnych zakresów. Kontrola dostępu oparta na rolach platformy Azure na płaszczyźnie zarządzania jest wymuszana przez usługę Azure Resource Manager, a lokalna kontrola RBAC zarządzanego modułu HSM zarządzanego modułu HSM jest wymuszana przez sam zarządzany moduł HSM.
Ważne
Udzielanie dostępu płaszczyzny zarządzania do podmiotu zabezpieczeń nie udziela dostępu do płaszczyzny danych podmiotu zabezpieczeń. Na przykład podmiot zabezpieczeń z dostępem do płaszczyzny zarządzania nie ma automatycznie dostępu do kluczy ani przypisań ról płaszczyzny danych. Ta izolacja jest zgodnie z projektem, aby zapobiec nieumyślnemu rozszerzaniu uprawnień, które mają wpływ na dostęp do kluczy przechowywanych w zarządzanym module HSM.
Istnieje jednak wyjątek: Członkowie roli globalnej Administracja istratora firmy Microsoft mogą zawsze dodawać użytkowników do roli zarządzanego modułu HSM Administracja istrator do celów odzyskiwania, takich jak brak prawidłowych kont zarządzanego modułu HSM Administracja istratora. Aby uzyskać więcej informacji, zobacz Microsoft Entra ID best practices for securing the Global Administracja strator role (Najlepsze rozwiązania dotyczące zabezpieczania roli globalnej Administracja stratora).
Na przykład administrator subskrypcji (ponieważ ma uprawnienia Współautor do wszystkich zasobów w subskrypcji) może usunąć zarządzany moduł HSM w ramach subskrypcji. Jeśli jednak nie mają dostępu do płaszczyzny danych przyznanej specjalnie za pośrednictwem lokalnej kontroli dostępu opartej na rolach zarządzanego modułu HSM, nie mogą uzyskać dostępu do kluczy ani zarządzać przypisaniami ról w zarządzanym module HSM w celu udzielenia sobie lub innym osobom dostępu do płaszczyzny danych.
Uwierzytelnianie Microsoft Entra
Po utworzeniu zarządzanego modułu HSM w subskrypcji platformy Azure zarządzany moduł HSM jest automatycznie skojarzony z dzierżawą firmy Microsoft entra subskrypcji. Wszystkie obiekty wywołujące w obu płaszczyznach muszą być zarejestrowane w tej dzierżawie i uwierzytelnić się w celu uzyskania dostępu do zarządzanego modułu HSM.
Aplikacja uwierzytelnia się przy użyciu identyfikatora Entra firmy Microsoft przed wywołaniem obu płaszczyzn. Aplikacja może używać dowolnej obsługiwanej metody uwierzytelniania w zależności od typu aplikacji. Aplikacja uzyskuje token dla zasobu w płaszczyźnie w celu uzyskania dostępu. Zasób jest punktem końcowym na płaszczyźnie zarządzania lub płaszczyźnie danych w zależności od środowiska platformy Azure. Aplikacja używa tokenu i wysyła żądanie interfejsu API REST do zarządzanego punktu końcowego modułu HSM. Aby dowiedzieć się więcej, przejrzyj cały przepływ uwierzytelniania.
Korzystanie z jednego mechanizmu uwierzytelniania dla obu płaszczyzn ma kilka korzyści:
- Organizacje mogą centralnie kontrolować dostęp do wszystkich zarządzanych modułów HSM w swojej organizacji.
- Jeśli użytkownik opuści organizację, natychmiast utraci dostęp do wszystkich zarządzanych modułów HSM w organizacji.
- Organizacje mogą dostosowywać uwierzytelnianie przy użyciu opcji w identyfikatorze Entra firmy Microsoft, takich jak włączenie uwierzytelniania wieloskładnikowego na potrzeby dodatkowych zabezpieczeń.
Punkty końcowe zasobów
Podmioty zabezpieczeń uzyskują dostęp do płaszczyzn za pośrednictwem punktów końcowych. Mechanizmy kontroli dostępu dla obu płaszczyzn działają niezależnie. Aby udzielić aplikacji dostępu do używania kluczy w zarządzanym module HSM, należy udzielić dostępu do płaszczyzny danych przy użyciu lokalnej kontroli dostępu opartej na rolach zarządzanego modułu HSM. Aby udzielić użytkownikowi dostępu do zarządzanego zasobu HSM w celu tworzenia, odczytywania, usuwania, przenoszenia zarządzanych modułów HSM i edytowania innych właściwości i tagów, należy użyć kontroli dostępu opartej na rolach platformy Azure.
W poniższej tabeli przedstawiono punkty końcowe płaszczyzny zarządzania i płaszczyzny danych.
| Płaszczyzna dostępu | Punkty końcowe dostępu | Operacje | Mechanizm kontroli dostępu |
|---|---|---|---|
| Płaszczyzna zarządzania | Cały świat:management.azure.com:443 |
Tworzenie, odczytywanie, aktualizowanie, usuwanie i przenoszenie zarządzanych modułów HSM Ustawianie zarządzanych tagów modułu HSM |
Kontrola dostępu na podstawie ról platformy Azure |
| Płaszczyzna danych | Cały świat:<hsm-name>.managedhsm.azure.net:443 |
Klucze: Odszyfrowywanie, szyfrowanie, unwrap, wrap, verify, sign, get, list, update, create, import, delete, back up, restore, purge Zarządzanie rolami płaszczyzny danych (zarządzana kontrola dostępu oparta na rolach w module HSM): Wyświetlanie definicji ról, przypisywanie ról, usuwanie przypisań ról, definiowanie ról niestandardowych Tworzenie kopii zapasowej i przywracanie: tworzenie kopii zapasowej, przywracanie, sprawdzanie stanu operacji tworzenia kopii zapasowych i przywracania Domena zabezpieczeń: pobieranie i przekazywanie domeny zabezpieczeń |
Zarządzana kontrola dostępu oparta na rolach modułu HSM |
Płaszczyzna zarządzania i kontrola dostępu oparta na rolach platformy Azure
Na płaszczyźnie zarządzania użyjesz kontroli dostępu opartej na rolach platformy Azure, aby autoryzować operacje, które może wykonać obiekt wywołujący. W modelu RBAC platformy Azure każda subskrypcja platformy Azure ma wystąpienie identyfikatora Entra firmy Microsoft. Udzielasz dostępu użytkownikom, grupom i aplikacjom z tego katalogu. Dostęp jest udzielany do zarządzania zasobami subskrypcji korzystającymi z modelu wdrażania usługi Azure Resource Manager. Aby udzielić dostępu, użyj witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell lub interfejsów API REST usługi Azure Resource Manager.
Magazyn kluczy można utworzyć w grupie zasobów i zarządzać dostępem przy użyciu identyfikatora Entra firmy Microsoft. Możesz przyznać użytkownikom lub grupom możliwość zarządzania magazynami kluczy w grupie zasobów. Dostęp można udzielić na określonym poziomie zakresu, przypisując odpowiednie role platformy Azure. Aby udzielić użytkownikowi dostępu do zarządzania magazynami kluczy, należy przypisać wstępnie zdefiniowaną key vault Contributor rolę do użytkownika w określonym zakresie. Do roli platformy Azure można przypisać następujące poziomy zakresu:
- Grupa zarządzania: rola platformy Azure przypisana na poziomie subskrypcji ma zastosowanie do wszystkich subskrypcji w tej grupie zarządzania.
- Subskrypcja: rola platformy Azure przypisana na poziomie subskrypcji ma zastosowanie do wszystkich grup zasobów i zasobów w ramach tej subskrypcji.
- Grupa zasobów: rola platformy Azure przypisana na poziomie grupy zasobów ma zastosowanie do wszystkich zasobów w tej grupie zasobów.
- Określony zasób: rola platformy Azure przypisana dla określonego zasobu ma zastosowanie do tego zasobu. W tym przypadku zasób jest określonym magazynem kluczy.
Kilka ról jest wstępnie zdefiniowanych. Jeśli wstępnie zdefiniowana rola nie odpowiada Twoim potrzebom, możesz zdefiniować własną rolę. Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach platformy Azure: role wbudowane.
Płaszczyzna danych i zarządzana kontrola dostępu oparta na rolach modułu HSM
Przyznasz jednostce zabezpieczeń dostęp do wykonywania określonych operacji kluczy przez przypisanie roli. Dla każdego przypisania roli należy określić rolę i zakres, dla którego ma zastosowanie to przypisanie. W przypadku lokalnej kontroli dostępu opartej na rolach zarządzanego modułu HSM dostępne są dwa zakresy:
/lub/keys: zakres na poziomie modułu HSM. Podmioty zabezpieczeń, którym przypisano rolę w tym zakresie, mogą wykonywać operacje zdefiniowane w roli dla wszystkich obiektów (kluczy) w zarządzanym module HSM./keys/<key-name>: zakres na poziomie klucza. Podmioty zabezpieczeń, którym przypisano rolę w tym zakresie, mogą wykonywać operacje zdefiniowane w tej roli tylko dla wszystkich wersji określonego klucza.
Następne kroki
- Aby zapoznać się z samouczkiem wprowadzającym dla administratora, zobacz Co to jest zarządzany moduł HSM?.
- Aby zapoznać się z samouczkiem dotyczącym zarządzania rolami, zobacz Zarządzanie lokalną kontrolą dostępu opartą na rolach modułu HSM.
- Aby uzyskać więcej informacji na temat rejestrowania użycia zarządzanego modułu HSM, zobacz Rejestrowanie zarządzanego modułu HSM.