Kör certifikathanteringstjänsten för OPC Vault på ett säkert sätt

  • Artikel

Viktigt

När vi uppdaterar den här artikeln kan du läsa mer om det senaste innehållet i Azure Industrial IoT .

Den här artikeln beskriver hur du kör OPC Vault-certifikathanteringstjänsten på ett säkert sätt i Azure och granskar andra säkerhetsriktlinjer att överväga.

Roller

Betrodda och auktoriserade roller

OPC Vault-mikrotjänsten gör det möjligt för distinkta roller att komma åt olika delar av tjänsten.

Viktigt

Under distributionen lägger skriptet bara till den användare som kör distributionsskriptet som en användare för alla roller. För en produktionsdistribution bör du granska den här rolltilldelningen och konfigurera om på lämpligt sätt genom att följa riktlinjerna nedan. Den här uppgiften kräver manuell tilldelning av roller och tjänster i Azure Active Directory (Azure AD) Enterprise Applications-portalen.

Tjänstroller för certifikathantering

OPC Vault-mikrotjänsten definierar följande roller:

  • Läsare: Som standard har alla autentiserade användare i klientorganisationen läsbehörighet.
    • Läsbehörighet till program och certifikatbegäranden. Kan lista och fråga efter program och certifikatbegäranden. Information om enhetsidentifiering och offentliga certifikat är också tillgängliga med läsåtkomst.
  • Författare: Rollen Författare tilldelas till en användare för att lägga till skrivbehörigheter för vissa uppgifter.
    • Läs-/skrivåtkomst till program och certifikatbegäranden. Kan registrera, uppdatera och avregistrera program. Kan skapa certifikatbegäranden och få godkända privata nycklar och certifikat. Kan också ta bort privata nycklar.
  • Godkännare: Godkännarrollen tilldelas en användare för att godkänna eller avvisa certifikatbegäranden. Rollen innehåller inte någon annan roll.
    • Förutom rollen Godkännare för att få åtkomst till OPC Vault-mikrotjänst-API:et måste användaren också ha behörighet för nyckelsignering i Azure Key Vault för att kunna signera certifikaten.
    • Rollen Författare och godkännare ska tilldelas till olika användare.
    • Huvudrollen för godkännaren är godkännande av generering och avvisande av certifikatbegäranden.
  • Administratör: Administratörsrollen tilldelas en användare för att hantera certifikatgrupperna. Rollen stöder inte godkännarrollen, men innehåller rollen Författare.
    • Administratören kan hantera certifikatgrupperna, ändra konfigurationen och återkalla programcertifikat genom att utfärda en ny lista över återkallade certifikat (CRL).
    • Helst tilldelas rollerna Författare, Godkännare och Administratör till olika användare. För ytterligare säkerhet behöver en användare med rollen Godkännare eller Administratör även nyckelsigneringsbehörighet i Key Vault, utfärda certifikat eller förnya ett utfärdarcertifikatutfärdarcertifikat.
    • Förutom administratörsrollen för mikrotjänster inkluderar rollen, men är inte begränsad till:
      • Ansvar för att administrera implementeringen av CA:s säkerhetsmetoder.
      • Hantering av generering, återkallande och avstängning av certifikat.
      • Livscykelhantering för kryptografinyckel (till exempel förnyelse av utfärdarens CA-nycklar).
      • Installation, konfiguration och underhåll av tjänster som driver ca:en.
      • Den dagliga driften av tjänsterna.
      • Ca och databassäkerhetskopiering och återställning.

Andra rolltilldelningar

Tänk också på följande roller när du kör tjänsten:

  • Företagsägare av certifikatanskaffningskontraktet med den externa rotcertifikatutfärdaren (till exempel när ägaren köper certifikat från en extern certifikatutfärdare eller driver en certifikatutfärdare som är underordnad en extern certifikatutfärdare).
  • Utveckling och validering av certifikatutfärdare.
  • Granskning av granskningsposter.
  • Personal som hjälper till att stödja ca:en eller hantera de fysiska och molnbaserade anläggningarna, men som inte är direkt betrodda att utföra CA-åtgärder, har den auktoriserade rollen. Uppsättningen uppgifter som personer i den auktoriserade rollen tillåts utföra måste också dokumenteras.

Granska medlemskap i betrodda och auktoriserade roller kvartalsvis

Granska medlemskap i betrodda och auktoriserade roller minst kvartalsvis. Se till att uppsättningen personer (för manuella processer) eller tjänstidentiteter (för automatiserade processer) i varje roll hålls till ett minimum.

Rollseparering mellan certifikatförfrågan och godkännare

Processen för certifikatutfärdande måste framtvinga rollseparering mellan rollerna certifikatförfrågan och certifikatgodkännare (personer eller automatiserade system). Certifikatutfärdare måste auktoriseras av en certifikatgodkännareroll som verifierar att certifikatförfråganaren har behörighet att hämta certifikat. De personer som innehar rollen som certifikatgodkännare måste vara en formellt auktoriserad person.

Begränsa tilldelning av privilegierade roller

Du bör begränsa tilldelningen av privilegierade roller, till exempel auktorisering av medlemskap i gruppen Administratörer och Godkännare, till en begränsad uppsättning auktoriserad personal. Alla privilegierade rolländringar måste ha åtkomst återkallad inom 24 timmar. Granska slutligen privilegierade rolltilldelningar kvartalsvis och ta bort eventuella onödiga eller utgångna tilldelningar.

Privilegierade roller bör använda tvåfaktorautentisering

Använd multifaktorautentisering (kallas även tvåfaktorautentisering) för interaktiva inloggningar av godkännare och administratörer till tjänsten.

Riktlinjer för certifikattjänstens åtgärd

Operativa kontakter

Certifikattjänsten måste ha en uppdaterad plan för säkerhetssvar på filen, som innehåller detaljerade operativa incidenthanteringskontakter.

Säkerhetsuppdateringar

Alla system måste övervakas och uppdateras kontinuerligt med de senaste säkerhetsuppdateringarna.

Viktigt

Den GitHub lagringsplatsen för OPC Vault-tjänsten uppdateras kontinuerligt med säkerhetskorrigeringar. Övervaka dessa uppdateringar och tillämpa dem på tjänsten med jämna mellanrum.

Säkerhetsövervakning

Prenumerera på eller implementera lämplig säkerhetsövervakning. Prenumerera till exempel på en central övervakningslösning (till exempel Azure Security Center eller Microsoft 365 övervakningslösning) och konfigurera den på rätt sätt för att säkerställa att säkerhetshändelser överförs till övervakningslösningen.

Viktigt

Som standard distribueras OPC Vault-tjänsten med Azure Application Insights som en övervakningslösning. Vi rekommenderar starkt att du lägger till en säkerhetslösning som Azure Security Center.

Utvärdera säkerheten för programvarukomponenter med öppen källkod

Alla komponenter med öppen källkod som används i en produkt eller tjänst måste vara fria från måttliga eller större säkerhetsproblem.

Viktigt

Under kontinuerlig integrering genomsöker den GitHub lagringsplatsen för OPC Vault-tjänsten alla komponenter efter säkerhetsrisker. Övervaka dessa uppdateringar på GitHub och tillämpa dem på tjänsten med jämna mellanrum.

Underhålla en inventering

Underhåll en tillgångsinventering för alla produktionsvärdar (inklusive beständiga virtuella datorer), enheter, alla interna IP-adressintervall, VIP-adresser och offentliga DNS-domännamn. När du lägger till eller tar bort ett system, enhetens IP-adress, VIP eller offentliga DNS-domän måste du uppdatera inventeringen inom 30 dagar.

Inventering av standarddistributionen av Azure OPC Vault-mikrotjänstproduktion

I Azure:

  • App Service Plan: App Service-plan för tjänstvärdar. Standard-S1.
  • App Service för mikrotjänster: OPC Vault-tjänstvärden.
  • App Service för exempelprogram: OPC Vault-exempelprogramvärden.
  • Key Vault Standard: Lagra hemligheter och Azure Cosmos DB-nycklar för webbtjänsterna.
  • Key Vault Premium: Värd för utfärdarens CA-nycklar, för signeringstjänsten och för valvkonfiguration och lagring av privata programnycklar.
  • Azure Cosmos DB: Databas för program- och certifikatbegäranden.
  • Program Insights: (valfritt) Övervakningslösning för webbtjänst och program.
  • Azure AD-programregistrering: En registrering för exempelprogrammet, tjänsten och edge-modulen.

För molntjänsterna ska alla värdnamn, resursgrupper, resursnamn, prenumerations-ID och klient-ID:t som används för att distribuera tjänsten dokumenteras.

I Azure IoT Edge eller en lokal IoT Edge server:

  • OPC Vault IoT Edge modul: Stöd för ett fabriksnätverk OPC UA Global Discovery Server.

För IoT Edge enheter ska värdnamnen och IP-adresserna dokumenteras.

Dokumentera certifikatutfärdarna

Dokumentationen om CA-hierarkin måste innehålla alla drivna certifikatutfärdare. Detta omfattar alla relaterade underordnade certifikatutfärdare, överordnade certifikatutfärdare och rotcertifikatutfärdare, även om de inte hanteras av tjänsten. I stället för formell dokumentation kan du tillhandahålla en fullständig uppsättning av alla certifikat som inte har upphört att gälla.

Anteckning

OPC Vault-exempelprogrammet stöder nedladdning av alla certifikat som används och produceras i tjänsten för dokumentation.

Dokumentera utfärdade certifikat av alla certifikatutfärdare

Ange en fullständig uppsättning av alla certifikat som utfärdats under de senaste 12 månaderna.

Anteckning

OPC Vault-exempelprogrammet stöder nedladdning av alla certifikat som används och produceras i tjänsten för dokumentation.

Dokumentera standardproceduren för säker borttagning av kryptografiska nycklar

Under en CA:s livslängd kan det hända att nyckelborttagningen endast sker sällan. Det är därför ingen användare har tilldelats Key Vault behörigheten Ta bort certifikat och varför det inte finns några API:er som exponeras för att ta bort ett utfärdarcertifikatutfärdarcertifikat. Den manuella standardproceduren för säker borttagning av kryptografiska nycklar för certifikatutfärdare är endast tillgänglig genom direkt åtkomst till Key Vault i Azure Portal. Du kan också ta bort certifikatgruppen i Key Vault. Om du vill säkerställa omedelbar borttagning inaktiverar du funktionen för mjuk borttagning av Key Vault.

Certifikat

Certifikat måste uppfylla minimikraven för certifikatprofilen

OPC Vault-tjänsten är en online-CERTIFIKATutfärdare som utfärdar slutentitetscertifikat till prenumeranter. OPC Vault-mikrotjänsten följer dessa riktlinjer i standardimplementeringen.

  • Alla certifikat måste innehålla följande X.509-fält enligt nedanstående:
    • Innehållet i versionsfältet måste vara v3.
    • Innehållet i fältet serialNumber måste innehålla minst 8 byte entropy som erhållits från en FIPS (Federal Information Processing Standards) 140-godkänd slumptalsgenerator.

      Viktigt

      OPC Vault-serienumret är som standard 20 byte och hämtas från operativsystemets kryptografiska slumptalsgenerator. Slumptalsgeneratorn är FIPS 140 godkänd på Windows enheter, men inte på Linux. Tänk på detta när du väljer en tjänstdistribution som använder virtuella Linux-datorer eller Linux Docker-containrar, där den underliggande tekniken OpenSSL inte är FIPS 140-godkänd.

    • Fälten issuerUniqueID och subjectUniqueID får inte finnas.
    • Slutentitetscertifikat måste identifieras med tillägget för grundläggande begränsningar i enlighet med IETF RFC 5280.
    • Fältet pathLenConstraint måste anges till 0 för certifikatutfärdare.
    • Tillägget utökad nyckelanvändning måste finnas och måste innehålla den minsta uppsättningen objektidentifierare för utökad nyckelanvändning (OID). AnyExtendedKeyUsage OID (2.5.29.37.0) får inte anges.
    • TILLÄGGET CRL Distribution Point (CDP) måste finnas i utfärdarcertifikatutfärdarens certifikat.

      Viktigt

      CDP-tillägget finns i OPC Vault CA-certifikat. OPC UA-enheter använder dock anpassade metoder för att distribuera listor över återkallade certifikat.

    • Åtkomsttillägget för utfärdarinformation måste finnas i prenumerantcertifikaten.

      Viktigt

      Åtkomsttillägget för utfärdarinformation finns i OPC Vault-prenumerantcertifikat. OPC UA-enheter använder dock anpassade metoder för att distribuera ca-information för utfärdare.

  • Godkända asymmetriska algoritmer, nyckellängder, hash-funktioner och utfyllnadslägen måste användas.
    • RSA och SHA-2 är de enda algoritmer som stöds.
    • RSA kan användas för kryptering, nyckelutbyte och signatur.
    • RSA-kryptering får endast använda utfyllnadslägena OAEP, RSA-KEM eller RSA-PSS.
    • Nyckellängder som är större än eller lika med 2 048 bitar krävs.
    • Använd SHA-2-serien med hash-algoritmer (SHA256, SHA384 och SHA512).
    • RSA-rotcertifikatutfärdarnycklar med en livslängd som är längre än eller lika med 20 år måste vara 4 096 bitar eller större.
    • Ca-nycklar för RSA-utfärdare måste vara minst 2 048 bitar. Om ca-certifikatets förfallodatum infaller efter 2030 måste CA-nyckeln vara 4 096 bitar eller senare.
  • Certifikatets livslängd
    • Rotcertifikatutfärdarcertifikat: Den maximala giltighetsperioden för rotcertifikatutfärdare får inte överstiga 25 år.
    • Certifikat från undercertifikatutfärdare eller certifikatutfärdare online: Den maximala giltighetsperioden för certifikatutfärdare som är online och endast utfärdar prenumerantcertifikat får inte överstiga 6 år. För dessa certifikatutfärdare får den relaterade privata signaturnyckeln inte användas längre än 3 år för att utfärda nya certifikat.

      Viktigt

      Utfärdarcertifikatet, eftersom det genereras i OPC Vault-standardmikrotjänsten utan extern rotcertifikatutfärdare, behandlas som en onlineundercertifikatutfärdare med respektive krav och livslängd. Standardlivslängden är inställd på 5 år, med en nyckellängd som är större än eller lika med 2048.

    • Alla asymmetriska nycklar måste ha en livslängd på högst 5 år och en rekommenderad livslängd på 1 år.

      Viktigt

      Som standard har livslängden för programcertifikat som utfärdats med OPC Vault en livslängd på 2 år och bör ersättas varje år.

    • När ett certifikat förnyas förnyas det med en ny nyckel.
  • OPC UA-specifika tillägg i programinstanscertifikat
    • SubjectAltName-tillägget innehåller programmets URI och värdnamn. Dessa kan också innehålla FQDN-, IPv4- och IPv6-adresser.
    • KeyUsage innehåller digitalSignature, nonRepudiation, keyEncipherment och dataEncipherment.
    • extendedKeyUsage innehåller serverAuth och clientAuth.
    • AuthorityKeyIdentifier anges i signerade certifikat.

CA-nycklar och certifikat måste uppfylla minimikraven

  • Privata nycklar: RSA-nycklar måste vara minst 2 048 bitar. Om ca-certifikatets förfallodatum infaller efter 2030 måste CA-nyckeln vara 4 096 bitar eller senare.
  • Livslängd: Den maximala giltighetsperioden för certifikatutfärdare som är online och endast utfärdar prenumerantcertifikat får inte överstiga 6 år. För dessa certifikatutfärdare får den relaterade privata signaturnyckeln inte användas längre än 3 år för att utfärda nya certifikat.

CA-nycklar skyddas med hjälp av maskinvarusäkerhetsmoduler

OpcVault använder Azure Key Vault Premium och nycklar skyddas av FIPS 140-2 Level 2 Hardware Security Modules (HSM).

De kryptografiska moduler som Key Vault använder, oavsett om det är HSM eller programvara, är FIPS-verifierade. Nycklar som skapas eller importeras som HSM-skyddade bearbetas i en HSM som verifieras till FIPS 140-2 Level 2. Nycklar som skapas eller importeras som programvaruskyddade bearbetas i kryptografiska moduler som verifieras till FIPS 140-2 Nivå 1.

Driftspraxis

Dokumentera och underhålla vanliga PKI-metoder för certifikatregistrering

Dokumentera och underhålla standardprocedurer (SOP: er) för hur certifikatutfärdare utfärdar certifikat, inklusive:

  • Hur prenumeranten identifieras och autentiseras.
  • Hur certifikatbegäran bearbetas och verifieras (om tillämpligt inkluderar även hur certifikatförnyelse och begäranden om nyckelåterställning bearbetas).
  • Hur utfärdade certifikat distribueras till prenumeranterna.

OPC Vault-mikrotjänsten SOP beskrivs i OPC Vault-arkitekturen och Hantera OPC Vault-certifikattjänsten. Metoderna följer "OPC Unified Architecture Specification Part 12: Discovery and Global Services" (OPC Unified Architecture Specification Part 12: Discovery and Global Services).

Dokumentera och underhålla vanliga PKI-metoder för återkallande av certifikat

Processen för återkallande av certifikat beskrivs i OPC Vault-arkitekturen och Hantera OPC Vault-certifikattjänsten.

Dokumentutfärdarceremoni för nyckelgenerering

Utfärdarens CA-nyckelgenerering i OPC Vault-mikrotjänsten är förenklad på grund av säker lagring i Azure Key Vault. Mer information finns i Hantera OPC Vault-certifikattjänsten.

Men när du använder en extern rotcertifikatutfärdare måste en ca-nyckelgenereringsceremoni följa följande krav.

Ca-nyckelgenereringsceremonin måste utföras mot ett dokumenterat skript som innehåller minst följande objekt:

  • Definition av roller och deltagaransvar.
  • Godkännande för genomförande av ca-nyckelgenereringsceremonin.
  • Kryptografisk maskinvara och aktiveringsmaterial som krävs för ceremonin.
  • Förberedelse av maskinvara (inklusive uppdatering och signering av tillgångs-/konfigurationsinformation).
  • Installation av operativsystem.
  • Specifika steg som utförs under ca-nyckelgenereringsceremonin, till exempel:
    • Installation och konfiguration av CA-program.
    • Generering av CA-nyckel.
    • Säkerhetskopiering av CA-nyckel.
    • Certifikatsignering för certifikatutfärdare.
    • Import av signerade nycklar i den skyddade HSM för tjänsten.
    • Ca-systemavstängning.
    • Förberedelse av material för lagring.

Nästa steg

Nu när du har lärt dig hur du på ett säkert sätt hanterar OPC Vault kan du:

Skydda OPC UA-enheter med OPC Vault