Aracılığıyla paylaş

Azure Yönetilen HSM'yi Azure İlkesi ile tümleştirme

  • Makale

Azure İlkesi, kullanıcılara Azure ortamlarını büyük ölçekte denetleme ve yönetme olanağı sağlayan bir idare aracıdır. Azure İlkesi, atanan ilke kurallarıyla uyumlu olduklarından emin olmak için Azure kaynaklarına korumalar yerleştirme olanağı sağlar. Kullanıcıların Azure ortamlarında denetim, gerçek zamanlı zorlama ve düzeltme gerçekleştirmesine olanak tanır. İlke tarafından gerçekleştirilen denetimlerin sonuçları, kullanıcıların uyumlu olan ve olmayan kaynak ve bileşenlerin detayına gitmelerini sağlayabilecekleri bir uyumluluk panosunda kullanılabilir. Daha fazla bilgi için bkz. Azure İlkesi hizmetine genel bakış.

Örnek Kullanım Senaryoları:

  • Şu anda kuruluşunuz genelinde denetim gerçekleştirmek için bir çözümünüz yok veya kuruluşunuzdaki tek tek ekiplerden uyumluluklarını bildirmelerini isteyerek ortamınızda el ile denetimler yürütüyorsunuz. Bu görevi otomatikleştirmenin, denetimleri gerçek zamanlı olarak gerçekleştirmenin ve denetimin doğruluğunu garanti etmenin bir yolunu arıyorsunuz.
  • Şirket güvenlik ilkelerinizi zorunlu kılmak ve kişilerin belirli şifreleme anahtarları oluşturmasını durdurmak istiyorsunuz, ancak oluşturmalarını engellemenin otomatik bir yolunuz yok.
  • Test ekipleriniz için bazı gereksinimleri gevşetmek, ancak üretim ortamınız üzerinde sıkı denetimler sağlamak istiyorsunuz. Kaynaklarınızın uygulanmasını ayırmak için basit bir otomatik yönteme ihtiyacınız vardır.
  • Canlı site sorunu olduğunda yeni ilkelerin uygulanmasını geri almayı unutmayın. İlkenin uygulanmasını kapatmak için tek tıklamayla bir çözüme ihtiyacınız vardır.
  • Ortamınızı denetlemek için bir üçüncü taraf çözümü kullanıyorsunuz ve bir iç Microsoft teklifi kullanmak istiyorsunuz.

İlke etkisi ve kılavuzu türleri

Denetim: İlkenin etkisi denetim olarak ayarlandığında, ilke ortamınızda hataya neden olmaz. Bu bileşenler ilke uyumluluk panosunda uyumsuz olarak işaretlenerek yalnızca belirtilen kapsamdaki ilke tanımlarıyla uyumlu olmayan anahtarlar gibi bileşenler konusunda sizi uyarır. İlke etkisi seçilmezse denetim varsayılandır.

Reddet: İlkenin etkisi reddetme olarak ayarlandığında, ilke zayıf anahtarlar gibi yeni bileşenlerin oluşturulmasını engeller ve ilke tanımına uymayan mevcut anahtarların yeni sürümlerini engeller. Yönetilen HSM içindeki mevcut uyumlu olmayan kaynaklar etkilenmez. 'Denetim' özellikleri çalışmaya devam edecektir.

Üç nokta eğrisi şifrelemesi kullanan anahtarlar belirtilen eğri adlara sahip olmalıdır

Üç nokta eğri şifrelemesi veya ECC anahtarları kullanıyorsanız, aşağıdaki listeden izin verilen eğri adları listesini özelleştirebilirsiniz. Varsayılan seçenek aşağıdaki eğri adlarının tümüne izin verir.

  • P-256
  • P-256K
  • P-384
  • P-521

Anahtarların son kullanma tarihleri ayarlanmış olmalıdır

Bu ilke, Yönetilen HSM'lerinizdeki tüm anahtarları denetler ve son kullanma tarihi uyumsuz olarak ayarlanmamış anahtarları işaretler. Bu ilkeyi, son kullanma tarihi ayarlı olmayan anahtarların oluşturulmasını engellemek için de kullanabilirsiniz.

Anahtarların süresi dolmadan önce belirtilen sayıdan fazla gün olmalıdır

Bir anahtar süre sonu için çok yakınsa, anahtarı döndürmek için bir kuruluş gecikmesi kesintiye neden olabilir. Anahtarlar, bir hataya tepki vermek için yeterli süre sağlamak için süre dolmadan belirtilen sayıda gün önce döndürülmelidir. Bu ilke anahtarları son kullanma tarihlerine çok yakın bir tarihte denetleyecek ve bu eşiği gün olarak ayarlamanıza olanak tanır. Bu ilkeyi, yeni anahtarların son kullanma tarihlerine çok yakın oluşturulmasını önlemek için de kullanabilirsiniz.

RSA şifrelemesi kullanan anahtarlar belirtilen en düşük anahtar boyutuna sahip olmalıdır

Daha küçük anahtar boyutlarına sahip RSA anahtarlarını kullanmak güvenli bir tasarım uygulaması değildir. En düşük anahtar boyutunun kullanılmasını zorunlu kılacak denetim ve sertifikasyon standartlarına tabi olabilirsiniz. Aşağıdaki ilke, Yönetilen HSM'nizde en düşük anahtar boyutu gereksinimini ayarlamanıza olanak tanır. Bu minimum gereksinimi karşılamayan anahtarları denetleyebilirsiniz. Bu ilke, en düşük anahtar boyutu gereksinimini karşılamayan yeni anahtarların oluşturulmasını engellemek için de kullanılabilir.

Azure CLI aracılığıyla Yönetilen HSM ilkesini etkinleştirme ve yönetme

Günlük tarama izni verme

Havuzun envanter anahtarlarının uyumluluğunu denetlemek için müşterinin anahtarın meta verilerine erişebilmesi için "Yönetilen HSM Şifreleme Denetçisi" rolünü "Azure Key Vault Yönetilen HSM Anahtar İdare Hizmeti" (Uygulama Kimliği: a1b76039-a76c-499f-a2dd-846b4cc32627) olarak ataması gerekir. İzin verilmeden stok anahtarları Azure İlkesi uyumluluk raporunda raporlanmaz; uyumluluk açısından yalnızca yeni anahtarlar, güncelleştirilmiş anahtarlar, içeri aktarılan anahtarlar ve döndürülen anahtarlar denetlenecektir. Bunu yapmak için Yönetilen HSM'de "Yönetilen HSM Yöneticisi" rolüne sahip bir kullanıcının aşağıdaki Azure CLI komutlarını çalıştırması gerekir:

Pencerelerde:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

Yazdırılanı id kopyalayıp aşağıdaki komuta yapıştırın:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

Linux'ta veya Linux'ın Windows Alt Sisteminde:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

İlke atamaları oluşturma - denetim ve/veya reddetme kurallarını tanımlama

İlke atamaları, ilke tanımlarının parametreleri için tanımlanmış somut değerlere sahiptir. Azure portal "İlke" bölümüne gidin, "Key Vault" kategorisine göre filtreleyin ve bu dört önizleme anahtarı idare ilkesi tanımını bulun. Birini seçin, ardından üstteki "Ata" düğmesini seçin. Her alanı doldurun. İlke ataması istek reddi içinse, ilke hakkında net bir ad kullanın çünkü bir istek reddedildiğinde ilke atamasının adı hatada görünür. İleri'yi seçin, "Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster" seçeneğinin işaretini kaldırın ve ilke tanımının parametreleri için değerler girin. "Düzeltme"yi atlayın ve atamayı oluşturun. Hizmetin "Reddet" atamalarını zorunlu kılmak için en fazla 30 dakika olması gerekir.

  • Azure Key Vault Yönetilen HSM anahtarlarının son kullanma tarihi olmalıdır
  • RSA şifrelemesi kullanan Azure Key Vault Yönetilen HSM anahtarları belirtilen en düşük anahtar boyutuna sahip olmalıdır
  • Azure Key Vault Yönetilen HSM Anahtarlarının süresi dolmadan önce belirtilen sayıdan fazla gün olmalıdır
  • Üç nokta eğri şifrelemesi kullanan Azure Key Vault Yönetilen HSM anahtarları belirtilen eğri adlarına sahip olmalıdır

Bu işlemi Azure CLI'yi kullanarak da yapabilirsiniz. Azure CLI ile uyumlu olmayan kaynakları belirlemek için bkz. İlke ataması oluşturma.

Ayarları test etme

Kuralı ihlal eden bir anahtarı güncelleştirmeyi/oluşturmayı deneyin; "Reddet" etkisine sahip bir ilke atamanız varsa, isteğinize 403 döndürür. Denetim ilkesi atamalarının envanter anahtarlarının tarama sonucunu gözden geçirin. 12 saat sonra İlkenin Uyumluluk menüsünü kontrol edin, "Key Vault" kategorisini filtreleyin ve ödevlerinizi bulun. Uyumluluk sonucu raporunu denetlemek için bunların her birini seçin.

Sorun giderme

Bir gün sonra havuzun uyumluluk sonuçları yoksa. Rol atamasının 2. adımda başarıyla yapılıp yapılmadığını denetleyin. 2. Adım olmadan, anahtar idare hizmeti anahtarın meta verilerine erişemez. Azure CLI az keyvault role assignment list komutu rolün atanıp atanmadığını doğrulayabilir.

Sonraki Adımlar