Delen via

Azure Managed HSM integreren met Azure Policy

  • Artikel

Azure Policy is een governance-programma waarmee gebruikers hun Azure-omgeving op schaal kunnen controleren en beheren. Azure Policy biedt de mogelijkheid om kaders op Azure-resources te plaatsen om ervoor te zorgen dat ze voldoen aan de toegewezen beleidsregels. Gebruikers kunnen zo audits uitvoeren, in realtime bepaalde zaken afdwingen en indien nodig hun Azure-omgeving herstellen. De resultaten van controles die door beleid worden uitgevoerd, zijn beschikbaar voor gebruikers in een nalevingsdashboard, waar ze kunnen inzoomen op welke resources en onderdelen compatibel zijn en welke niet. Zie voor meer informatie Overzicht van de Azure Policy.

Voorbeeld gebruiksscenario's:

  • U hebt momenteel geen oplossing voor het uitvoeren van een bedrijfsbrede audit, of u voert handmatige audits uit van uw omgeving door afzonderlijke teams binnen uw organisatie te vragen hun naleving te rapporteren. U bent op zoek naar een manier om deze taak te automatiseren, controles in realtime uit te voeren en de nauwkeurigheid van de controle te garanderen.
  • U wilt het beveiligingsbeleid van uw bedrijf afdwingen en voorkomen dat personen bepaalde cryptografische sleutels maken, maar u hebt geen geautomatiseerde manier om het maken ervan te blokkeren.
  • U wilt sommige vereisten afzwakken voor uw testteams, maar u wilt strikte controle houden over uw productieomgeving. U hebt een eenvoudige, geautomatiseerde manier nodig om verschillende niveaus van afdwinging te implementeren voor uw resources.
  • U wilt er zeker van zijn dat u het afdwingen van nieuwe beleidsregels kunt terugdraaien als er een livesiteprobleem is. U hebt een one-click oplossing nodig om afdwinging van het beleid te kunnen uitschakelen.
  • U vertrouwt op een externe oplossing voor het controleren van uw omgeving en u wilt een intern Microsoft-aanbod gebruiken.

Soorten beleidseffecten en -richtlijnen

Controle: Wanneer het effect van een beleid is ingesteld op controle, veroorzaakt het beleid geen belangrijke wijzigingen in uw omgeving. U wordt alleen gewaarschuwd voor onderdelen, zoals sleutels die niet voldoen aan de beleidsdefinities binnen een opgegeven bereik, door deze onderdelen te markeren als niet-compatibel in het dashboard voor beleidsnaleving. 'Audit' is de standaardinstelling als er geen beleidseffect is geselecteerd.

Weigeren: Wanneer het effect van een beleid is ingesteld op weigeren, blokkeert het beleid het maken van nieuwe onderdelen, zoals zwakkere sleutels, en blokkeert het nieuwe versies van bestaande sleutels die niet voldoen aan de beleidsdefinitie. Dit heeft geen invloed op bestaande niet-compatibele resources binnen een beheerde HSM. De 'audit'-mogelijkheden blijven van kracht.

Sleutels die gebruikmaken van elliptische curve-cryptografie, moeten de opgegeven curvenamen hebben

Als u elliptische-curvecryptografie of ECC-sleutels gebruikt, kunt u een lijst met toegestane curvenamen aanpassen op basis van de onderstaande lijst. Met de standaardinstelling worden alle volgende curvenamen toegestaan.

  • P-256
  • P-256K
  • P-384
  • P-521

Voor sleutels moeten vervaldatums zijn ingesteld

Met dit beleid worden alle sleutels in uw beheerde HSM's gecontroleerd en worden sleutels gemarkeerd waarvoor geen vervaldatum is ingesteld als niet-compatibel. U kunt dit beleid ook gebruiken om te voorkomen dat sleutels worden gemaakt waarvoor geen vervaldatum is ingesteld.

Sleutels moeten meer dan het opgegeven aantal dagen vóór de vervaldatum hebben

Als een sleutel bijna is vervallen, kan een organisatorische vertraging in het roteren van de sleutel tot uitval leiden. Sleutels moeten na een bepaald aantal dagen vóór de vervaldatum worden geroteerd om te zorgen dat er voldoende tijd is om op een fout te kunnen reageren. Met dit beleid worden sleutels te dicht bij de vervaldatum gecontroleerd en kunt u deze drempelwaarde in dagen instellen. U kunt dit beleid ook gebruiken om te voorkomen dat nieuwe sleutels te dicht bij de vervaldatum worden gemaakt.

Sleutels met RSA-cryptografie moeten een opgegeven minimale sleutelgrootte hebben

Het gebruik van RSA-sleutels met kleinere sleutelgrootten is geen veilige ontwerppraktijk. U bent mogelijk onderhevig zijn aan controle- en certificeringsstandaarden die het gebruik van een minimale sleutelgrootte verplicht stellen. Met het volgende beleid kunt u een minimale sleutelgroottevereiste instellen voor uw beheerde HSM. U kunt sleutels controleren die niet voldoen aan deze minimumvereiste. Dit beleid kan ook worden gebruikt om het maken van nieuwe sleutels te blokkeren die niet voldoen aan de vereiste van een minimale sleutelgrootte.

Een beheerd HSM-beleid inschakelen en beheren via de Azure CLI

Dagelijks toestemming geven om te scannen

Om de naleving van de inventarissleutels van de pool te controleren, moet de klant de rol 'Beheerde HSM Crypto Auditor' toewijzen aan 'Azure Key Vault Managed HSM Key Governance Service'(app-id: a1b76039-a76c-499f-a2dd-846b4cc32627), zodat deze toegang heeft tot de metagegevens van de sleutel. Zonder toestemming worden inventarissleutels niet gerapporteerd in het nalevingsrapport van Azure Policy, worden alleen nieuwe sleutels, bijgewerkte sleutels, geïmporteerde sleutels en gerouleerde sleutels gecontroleerd op naleving. Hiervoor moet een gebruiker met de rol 'Beheerde HSM-beheerder' voor de beheerde HSM de volgende Azure CLI-opdrachten uitvoeren:

In vensters:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

Kopieer het id afgedrukte bestand en plak deze in de volgende opdracht:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

Op linux of Windows-subsysteem van Linux:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Beleidstoewijzingen maken - regels voor controle en/of weigeren definiëren

Beleidstoewijzingen hebben concrete waarden gedefinieerd voor de parameters van beleidsdefinities. Ga in Azure Portal naar Beleid, filter op de categorie Key Vault en zoek deze vier preview-beleidsdefinities voor sleutelbeheer. Selecteer er een en selecteer vervolgens de knop Toewijzen bovenaan. Vul elk veld in. Als de beleidstoewijzing betrekking heeft op weigeringen van aanvragen, gebruikt u een duidelijke naam over het beleid omdat, wanneer een aanvraag wordt geweigerd, de naam van de beleidstoewijzing wordt weergegeven in de fout. Selecteer Volgende, schakel 'Alleen parameters weergeven die invoer of revisie nodig hebben' uit en voer waarden in voor parameters van de beleidsdefinitie. Sla het herstel over en maak de toewijzing. De service heeft maximaal 30 minuten nodig om weigeringstoewijzingen af te dwingen.

  • Beheerde HSM-sleutels van Azure Key Vault moeten een vervaldatum hebben
  • Beheerde HSM-sleutels van Azure Key Vault met rsa-cryptografie moeten een opgegeven minimale sleutelgrootte hebben
  • Beheerde HSM-sleutels van Azure Key Vault moeten meer dan het opgegeven aantal dagen vóór de vervaldatum hebben
  • Beheerde HSM-sleutels van Azure Key Vault met behulp van elliptische curvecryptografie moeten de opgegeven curvenamen hebben

U kunt deze bewerking ook uitvoeren met behulp van de Azure CLI. Zie Een beleidstoewijzing maken om niet-compatibele resources te identificeren met Azure CLI.

Uw installatie testen

Probeer een sleutel bij te werken/te maken die in strijd is met de regel, als u een beleidstoewijzing met het effect Weigeren hebt, wordt 403 geretourneerd naar uw aanvraag. Controleer het scanresultaat van inventarissleutels van controlebeleidstoewijzingen. Na 12 uur controleert u het menu Naleving van het beleid, filtert u op de categorie Key Vault en zoekt u uw toewijzingen. Selecteer elk van deze opties om het rapport met nalevingsresultaten te controleren.

Probleemoplossing

Als er na één dag geen nalevingsresultaten van een pool zijn. Controleer of de roltoewijzing is uitgevoerd bij stap 2. Zonder stap 2 heeft de sleutelbeheerservice geen toegang tot de metagegevens van de sleutel. Met de Azure CLI-opdracht az keyvault role assignment list kunt u controleren of de rol is toegewezen.

Volgende stappen