Åtkomstkontroll för Managed HSM

Azure Key Vault Managed HSM är en molntjänst som skyddar krypteringsnycklar. Eftersom dessa data är känsliga och viktiga för ditt företag måste du skydda dina hanterade maskinvarusäkerhetsmoduler (HSM) genom att endast tillåta auktoriserade program och användare att komma åt data.

Den här artikeln innehåller en översikt över den hanterade HSM-åtkomstkontrollmodellen. Den förklarar autentisering och auktorisering och beskriver hur du skyddar åtkomsten till dina hanterade HSM:er.

Kommentar

Azure Key Vault-resursprovidern stöder två resurstyper: valv och hanterade HSM:er. Åtkomstkontroll som beskrivs i den här artikeln gäller endast för hanterade HSM:er. Mer information om åtkomstkontroll för Hanterad HSM finns i Ge åtkomst till Key Vault-nycklar, certifikat och hemligheter med rollbaserad åtkomstkontroll i Azure.

Åtkomstkontrollmodell

Åtkomst till en hanterad HSM styrs via två gränssnitt:

  • Hanteringsplanet
  • Dataplanet

På hanteringsplanet hanterar du själva HSM. Åtgärder i det här planet omfattar att skapa och ta bort hanterade HSM:er och hämta hanterade HSM-egenskaper.

På dataplanet arbetar du med de data som lagras i en hanterad HSM. Du arbetar alltså med de HSM-säkerhetskopierade krypteringsnycklarna. Du kan lägga till, ta bort, ändra och använda nycklar för att utföra kryptografiska åtgärder, hantera rolltilldelningar för att styra åtkomsten till nycklarna, skapa en fullständig HSM-säkerhetskopia, återställa en fullständig säkerhetskopia och hantera säkerhetsdomänen från dataplanets gränssnitt.

För att få åtkomst till en hanterad HSM i båda plan måste alla anropare ha rätt autentisering och auktorisering. Autentisering upprättar anroparens identitet. Auktorisering avgör vilka åtgärder anroparen kan köra. En anropare kan vara något av de säkerhetsobjekt som definieras i Microsoft Entra-ID: användare, grupp, tjänstens huvudnamn eller hanterad identitet.

Båda planen använder Microsoft Entra-ID för autentisering. För auktorisering använder de olika system:

  • Hanteringsplanet använder rollbaserad åtkomstkontroll i Azure (Azure RBAC), ett auktoriseringssystem som bygger på Azure Resource Manager.
  • Dataplanet använder en hanterad RBAC på HSM-nivå (managed HSM local RBAC), ett auktoriseringssystem som implementeras och tillämpas på hanterad HSM-nivå.

När en hanterad HSM skapas tillhandahåller beställaren en lista över dataplansadministratörer (alla säkerhetsobjekt stöds). Endast dessa administratörer kan komma åt det hanterade HSM-dataplanet för att utföra nyckelåtgärder och hantera rolltilldelningar för dataplan (hanterad lokal RBAC för HSM).

Behörighetsmodellerna för båda planen använder samma syntax, men de tillämpas på olika nivåer, och rolltilldelningar använder olika omfång. Hanteringsplanet Azure RBAC tillämpas av Azure Resource Manager och dataplanet Hanterad HSM lokal RBAC tillämpas av den hanterade HSM själv.

Viktigt!

Att ge hanteringsplanet åtkomst till ett säkerhetsobjekt ger inte åtkomst till säkerhetsobjektets dataplan. Ett säkerhetsobjekt med åtkomst till hanteringsplanet har till exempel inte automatiskt åtkomst till nycklar eller rolltilldelningar för dataplanet. Den här isoleringen är avsiktlig för att förhindra oavsiktlig utökning av privilegier som påverkar åtkomsten till nycklar som lagras i Managed HSM.

Men det finns ett undantag: Medlemmar i rollen Microsoft Entra Global Administratör kan alltid lägga till användare i rollen Hanterad HSM-administratör i återställningssyfte, till exempel när det inte längre finns några giltiga hanterade HSM-administratörskonton. Mer information finns i Bästa praxis för Microsoft Entra-ID för att skydda rollen global administratör.

Till exempel kan en prenumerationsadministratör (eftersom de har deltagarbehörighet till alla resurser i prenumerationen) ta bort en hanterad HSM i sin prenumeration. Men om de inte har åtkomst till dataplanet specifikt beviljad via managed HSM local RBAC kan de inte få åtkomst till nycklar eller hantera rolltilldelningar i den hanterade HSM:en för att ge sig själva eller andra åtkomst till dataplanet.

Microsoft Entra-autentisering

När du skapar en hanterad HSM i en Azure-prenumeration associeras den hanterade HSM automatiskt med Prenumerationens Microsoft Entra-klientorganisation. Alla uppringare i båda planen måste vara registrerade i den här klientorganisationen och autentiseras för att få åtkomst till den hanterade HSM:en.

Programmet autentiserar med Microsoft Entra-ID innan det anropar något av planet. Programmet kan använda valfri autentiseringsmetod som stöds beroende på programtyp. Programmet hämtar en token för en resurs i planet för att få åtkomst. Resursen är en slutpunkt i hanteringsplanet eller dataplanet, beroende på Azure-miljön. Programmet använder token och skickar en REST API-begäran till den hanterade HSM-slutpunkten. Mer information finns i hela autentiseringsflödet.

Det finns flera fördelar med att använda en enda autentiseringsmekanism för båda planen:

  • Organisationer kan centralt styra åtkomsten till alla hanterade HSM:er i organisationen.
  • Om en användare lämnar organisationen förlorar de omedelbart åtkomsten till alla hanterade HSM:er i organisationen.
  • Organisationer kan anpassa autentiseringen med hjälp av alternativ i Microsoft Entra-ID, till exempel för att aktivera multifaktorautentisering för ökad säkerhet.

Resursslutpunkter

Säkerhetsobjekt får åtkomst till planen via slutpunkter. Åtkomstkontrollerna för de två planen fungerar oberoende av varandra. Om du vill ge ett program åtkomst till att använda nycklar i en hanterad HSM beviljar du dataplansåtkomst med hjälp av managed HSM local RBAC. Om du vill ge en användare åtkomst till en hanterad HSM-resurs för att skapa, läsa, ta bort, flytta de hanterade HSM:erna och redigera andra egenskaper och taggar använder du Azure RBAC.

I följande tabell visas slutpunkterna för hanteringsplanet och dataplanet.

Åtkomstplan Slutpunkter för åtkomst Operations Åtkomstkontrollmekanismer
Hanteringsplanet Globalt:
management.azure.com:443
Skapa, läsa, uppdatera, ta bort och flytta hanterade HSM:er

Ange hanterade HSM-taggar
Azure RBAC
Dataplanet Globalt:
<hsm-name>.managedhsm.azure.net:443
Nycklar: Dekryptera, kryptera,
unwrap, wrap, verify, sign, get, list, update, create, import, delete, back up, restore, purge

Rollhantering för dataplan (hanterad lokal RBAC för HSM): Lista rolldefinitioner, tilldela roller, ta bort rolltilldelningar, definiera anpassade roller

Säkerhetskopiering och återställning: Säkerhetskopiera, återställa, kontrollera status för säkerhetskopierings- och återställningsåtgärder

Säkerhetsdomän: Ladda ned och ladda upp säkerhetsdomänen
Hanterad lokal RBAC för HSM

Hanteringsplan och Azure RBAC

I hanteringsplanet använder du Azure RBAC för att auktorisera de åtgärder som en anropare kan köra. I Azure RBAC-modellen har varje Azure-prenumeration en instans av Microsoft Entra-ID. Du beviljar åtkomst till användare, grupper och program från den här katalogen. Åtkomst beviljas för att hantera prenumerationsresurser som använder Azure Resource Manager-distributionsmodellen. Om du vill bevilja åtkomst använder du AZURE-portalen, Azure CLI, Azure PowerShell eller Azure Resource Manager REST API:er.

Du skapar ett nyckelvalv i en resursgrupp och hanterar åtkomst med hjälp av Microsoft Entra-ID. Du ger användare eller grupper möjlighet att hantera nyckelvalv i en resursgrupp. Du beviljar åtkomsten på en specifik omfångsnivå genom att tilldela lämpliga Azure-roller. Om du vill ge åtkomst till en användare för att hantera nyckelvalv tilldelar du en fördefinierad key vault Contributor roll till användaren i ett specifikt omfång. Följande omfångsnivåer kan tilldelas till en Azure-roll:

  • Hanteringsgrupp: En Azure-roll som tilldelats på prenumerationsnivå gäller för alla prenumerationer i hanteringsgruppen.
  • Prenumeration: En Azure-roll som tilldelats på prenumerationsnivå gäller för alla resursgrupper och resurser i den prenumerationen.
  • Resursgrupp: En Azure-roll som tilldelats på resursgruppsnivå gäller för alla resurser i den resursgruppen.
  • Specifik resurs: En Azure-roll som tilldelats för en specifik resurs gäller för den resursen. I det här fallet är resursen ett specifikt nyckelvalv.

Flera roller är fördefinierade. Om en fördefinierad roll inte passar dina behov kan du definiera din egen roll. Mer information finns i Azure RBAC: Inbyggda roller.

Dataplan och hanterad HSM lokal RBAC

Du ger ett säkerhetsobjekt åtkomst för att köra specifika nyckelåtgärder genom att tilldela en roll. För varje rolltilldelning måste du ange en roll och ett omfång som tilldelningen gäller för. För lokal RBAC för Managed HSM är två omfång tillgängliga:

  • / eller /keys: HSM-nivåomfång. Säkerhetsobjekt som har tilldelats en roll i det här omfånget kan utföra de åtgärder som definieras i rollen för alla objekt (nycklar) i den hanterade HSM:en.
  • /keys/<key-name>: Omfång på nyckelnivå. Säkerhetsobjekt som tilldelas en roll i det här omfånget kan utföra de åtgärder som definieras i den här rollen endast för alla versioner av den angivna nyckeln.

Nästa steg