Správa klíčů a správa certifikátů v Microsoft Cloud for Sovereignty

Kryptografická autentizace a šifrování jsou efektivní strategie pro splnění požadavků na důvěrnost, ochranu osobních údajů a suverenitu dat. Účinnost těchto řešení však závisí na bezpečnosti a odolnosti základních kryptografických technologií a provozních procesů. Tento článek představuje koncepty, které byste měli znát při plánování používání šifrovacích klíčů a digitálních certifikátů k zabezpečení úloh, které migrujete do cloudu.

Správa klíčů

Kryptografické materiály jsou uloženy a spravovány v Azure pomocí Azure Key Vault, které je k dispozici v režimu nasazení na více tenantů i s jednoho tenanta. Azure Key Vault (AKV) poskytuje cloudovou správu nativních klíčů, tajných klíčů a certifikátů ve službě pro více tenantů, která je podporována moduly hardwarového zabezpečení ověřenými FIPS 140. Spravovaný HSM Azure Key Vault je služba pro jednoho tenanta, která vám poskytuje plnou administrativní kontrolu nad bezpečnostní doménou vaší organizace a souvisejícími šifrovacími klíči.

Doporučení pro efektivní správu klíčů

Ovládací prvky platformy, i když jsou nezbytné, nejsou jediným aspektem efektivní správy klíčů. Společnost Microsoft také představuje několik osvědčených postupů pro efektivní správu klíčů.

Řízení přístupu

Pokud používáte standardní nebo prémiové SKU Azure Key Vault, doporučujeme nasadit jeden trezor na aplikaci, prostředí a oblast, abyste vynutili co nejmenší oprávnění. Pokud používáte Spravovaný HSM, může být pro správu nákladů preferováno nasazení menšího počtu centralizovaných trezorů. Bez ohledu na SKU, kterou nasadíte, musíte přísně regulovat přístup k úložišti pomocí řízení přístupu založeného na rolích (RBAC) a zajistit, aby zásady přístupu v každém trezoru dodržovaly zásadu nejmenšího oprávnění. Doporučujeme udělovat přístup uživatelům, skupinám a aplikacím v konkrétním rozsahu, jako je předplatné, skupina prostředků nebo jen konkrétní trezor klíčů, pomocí předdefinovaných rolí Azure RBAC. Řízení přístupu je kritické a doporučené na úrovni správy a datové roviny.

Zálohování a obnovení

Musíte mít pravidelné zálohy na úrovni HSM a pro konkrétní klíče. Doporučujeme nakonfigurovat funkce ochrany obnovitelného odstranění a vymazání, abyste zabránili náhodným a škodlivým odstraněním. Azure Monitor, který je plně integrovaný se spravovaným HSM, se doporučuje pro monitorování a protokolování přístupu k trezorům klíčů. Další informace naleznete v tématu Osvědčené postupy spravovaného HSM Azure.

Rotace klíčů

Zajistěte pravidelné střídání klíčů spravovaných zákazníkem (CMK) s frekvencí stanovenou zásadami vaší organizace. Klíče by se také měly střídat, pokud administrátor s přístupem ke klíčům opustí nebo změní role nebo pokud dojde ke kompromitaci některého CMK. Autorotace je podporována prostřednictvím Azure Key Vault a Spravovaného HSM Azure. Pokud je to možné, zajistěte, aby byl proces rotace automatizován, prováděn bez jakékoli lidské interakce a testován, aby byla zajištěna účinnost. V nouzových situacích, jako je kompromitace klíče, potřebujete robustní systém, který okamžitě obnoví tajné klíče. Pokud není automatizace tohoto procesu proveditelná, doporučujeme nastavit upozornění, aby se předešlo vypršení platnosti certifikátu a výpadkům.

Poznámka:

Zatímco rotace CMK pro důvěrné virtuální počítače je podporována, proces automatizace zatím podporován není. Více doporučení najdete zde.

Doporučení související s HSM

Někteří zákazníci vyjadřují zájem ponechat své klíče odděleně od dat uložením klíčů v externím HSM, buď v cloudu třetí strany, nebo místně. Ačkoli se tento krok může zdát přirozeným přechodem od místní správy prostředí, externí HSM může přinést nová rizika na úrovni identity, sítě a softwaru. Externí HSM může také zvýšit výkonnostní rizika a přinést obavy, jako jsou problémy se sítí způsobující latenci, problémy se SLA způsobené problémy s HSM třetí strany a náklady na údržbu a školení. Kromě toho HSM třetích stran nemusí poskytovat důležité funkce, jako je obnovitelné odstranění a ochrana proti vymazání.

Další informace o technických ovládacích prvcích zabudovaných do suverénní cílové zóny (SLZ) pro prosazování vhodných klíčových manažerských postupů naleznete v portfoliu zásad.

Správa certifikátů

Digitální bezpečnostní certifikáty se široce používají k zabezpečení komunikace pro cloudové aplikace. Režie spojená s aktivitami správy certifikátů, včetně vydávání, rotace a rušení certifikátů, se může rychle zvětšit, protože se do cloudu migruje více úloh. Zákazníci, kteří plánují migraci své úlohy na Microsoft Cloud for Sovereignty, by měli porozumět scénářům certifikátů digitálního zabezpečení, aby mohli v rámci migrace do cloudu vyvinout plány správy certifikátů.

Běžné scénáře digitálních certifikátů

Tato část popisuje běžné cloudové scénáře, které používají digitální certifikáty k zabezpečení komunikace.

Autentizace a šifrování webu

Weby používají certifikáty TLS k ověření své identity pro návštěvníky a k šifrování komunikace. Veřejné weby běžně používají certifikáty od veřejných certifikačních autorit (CA), ale organizace často používají certifikáty od soukromé CA pro weby, které nejsou veřejně přístupné. V obou případech musí být certifikáty pro weby obnoveny, když vyprší jejich platnost nebo je zpochybněna integrita certifikátu. Pro organizace s velkou přítomností na internetu může správa těchto certifikátů vyžadovat značné plánování a úsilí.

Ověřování služby

Distribuované aplikace a mikroslužby často používají bezstavový model relace, který umožňuje flexibilitu při zpracování požadavků aplikací, ale může také vyžadovat další ověřování a šifrování ke zmírnění bezpečnostních rizik. Certifikáty se často používají pro vzájemnou autentizaci mezi aplikačními vrstvami a komponentami. Tyto komponenty jsou často spravovány decentralizovanými týmy pro vývoj aplikací, což ztěžuje sledování a monitorování správy digitálních certifikátů v rámci celého podniku.

Ověření infrastruktury

Servery a síťová zařízení často používají klientské certifikáty pro ověřování v podnikové síti a během činností údržby. Organizace, které používají řešení jako Active Directory nebo Kerberos, musí obvykle spravovat klientské certifikáty pro svou nasazenou infrastrukturu.

Další scénáře certifikátů

Řešení pro správu koncového bodu často používají certifikáty zařízení k ověření zařízení koncových uživatelů, jako jsou počítače, notebooky a mobilní zařízení. Certifikáty pro podepisování kódu se používají ve vývojových prostředích k ověření vydavatele softwaru jako součást přístupu organizace k zabezpečení aplikací.

Správa životního cyklu certifikátu v cloudu

Certifikáty spravované platformou a certifikáty spravované zákazníky

Služby Azure PaaS, které poskytují šifrování dat při přenosu, obvykle implementují šifrování pomocí digitálních certifikátů spravovaných platformou a přidružených k výchozímu názvu hostitele, který je přiřazen při vytváření prostředku. Pokud chcete používat vlastní název domény se zdroji, které nasazujete do cloudu, musíte nakonfigurovat certifikát, který mohou používat externí uživatelé, když přistupují ke službě. Pro komunikaci v rámci služeb mezi službami Azure, které nejsou nakonfigurovány k používání vlastních názvů domén, jsou certifikáty spravované platformou výchozím prostředkem pro šifrování dat při přenosu. Pokud chcete používat certifikáty přidružené k vlastním názvům domén, prohlédněte si dokumentaci ke službám Azure, které plánujete nasadit, jako jsou následující příklady.

• Vlastní domény ve službě Azure App Service
• Vlastní domény v kontejnerových aplikacích Azure

Vytváření certifikátů s Azure Key Vault

Azure Key Vault poskytuje zákazníkům funkce správy certifikátů nativní cloud, které umožňují platformě Azure používat certifikáty, které zákazníci vytvoří nebo importují. Můžete buď vytvořit certifikáty s vlastním podpisem v Key Vault, požádat o certifikát od vydavatele, nebo importovat certifikát od své vlastní certifikační autority. Key Vault vám také pomáhá určit zásady pro certifikáty, například zda mají být certifikáty exportovatelné nebo neexportovatelné.

• Začínáme s certifikáty Key Vault
• Integrace Key Vault s integrovanými certifikačními autoritami
• Vytvoření a sloučení žádosti o podpis certifikátu v Key Vault

Vytvoření certifikátů místně a jejich správa v Azure

Pokud chcete vydávat certifikáty od místní certifikační autority, můžete tyto certifikáty importovat do Azure Key Vault pro použití jinými službami Azure. Po exportu certifikátu jako souboru PEM nebo PFX ho můžete importovat do Azure Key Vault.

• Kurz: Import certifikátu do Azure Key Vault

Vytváření a správa certifikátů místně pomocí řešení třetích stran

Organizace, které již mají možnosti správy certifikátů na podnikové úrovni, mohou zvážit, zda integrovat svá místní řešení se svými úlohami v cloudu. Mnoho místních řešení pro správu certifikačních autorit a certifikátů lze integrovat s Key Vault pomocí REST API a spravovaných identit.

Decentralizovaná správa certifikátů

Jedním z přístupů, jak škálovat schopnosti organizace správy certifikátů, je decentralizovat vydávání a správu certifikátů na aplikační a infrastrukturní týmy. Řešení, jako je Azure Key Vault, umožňují organizaci standardizovat přijatelné technologie a procesy správy klíčů bez centralizace správy těchto procesů správy klíčů do jednoho provozního týmu. K delegování klíčových manažerských odpovědností blíže aplikačním a infrastrukturním týmům lze použít několik strategií.

Spravované certifikáty

Veřejně přístupné weby, které vyžadují certifikáty od veřejné certifikační autority, mohou využívat výhod spravovaných certifikátů ve službách Azure PaaS, jako je Azure App Service nebo Azure Front Door. Certifikáty od integrovaných certifikačních autorit lze také vytvářet, spravovat a rotovat v Azure Key Vault. Další informace naleznete v následujících zdrojích:

• Vlastní domény a certifikáty ve službě Azure App Service
• Vlastní domény v Azure Front Door
• Integrace Key Vault s certifikačními autoritami DigiCert

Automatizace vydávání certifikátů v kanálech CI/CD

Organizace, které přijmou procesy Dev/Ops, mohou automatizovat vydávání certifikátů jako součást svých kanálů CI/CD. Tento přístup deleguje některé odpovědnosti za správu certifikátů na aplikační týmy a umožňuje jim poskytovat vlastní certifikáty pomocí nativních služeb Azure, jako jsou Azure DNS, Azure App Service a Azure Key Vault.

Správa certifikátů koncového bodu

Certifikáty koncového bodu se používají v úlohách IaaS, kde servery a služby používají certifikáty pro ověřování. Vzhledem k tomu, že tento scénář je spojen s virtuálními počítači, mohou organizace spravovat tyto certifikáty pomocí stejných nástrojů pro správu konfigurace nebo vytvářet automatizační nástroje, které se používají ke správě konfigurací virtuálních počítačů.

Viz také

• Azure Key Vault
  
• Modul zabezpečení spravovaného hardwaru Azure
  
• Osvědčené postupy pro spravované HSM Azure