Sleutel- en certificaatbeheer in Microsoft Cloud for Sovereignty
Cryptografische verificatie en versleuteling zijn effectieve strategieën om te voldoen aan vereisten op het gebied van vertrouwelijkheid, privacy en gegevenssoevereiniteit. De effectiviteit van deze oplossingen hangt echter af van de veiligheid en veerkracht van de onderliggende cryptografische technologieën en operationele processen. In dit artikel worden concepten geïntroduceerd waarmee u bekend moet zijn bij het plannen van het gebruik van coderingssleutels en digitale certificaten om de workloads te beveiligen die u naar de cloud migreert.
Sleutelbeheer
Cryptografische materialen worden in Azure opgeslagen en beheerd met behulp van Azure Key Vault, dat in implementatiemodi met één tenant en meerdere tenants beschikbaar is. Azure Key Vault (AKV) biedt cloudeigen sleutel-, geheim- en certificaatbeheer in een multitenant-service die wordt ondersteund door FIPS 140-gevalideerde hardwarebeveiligingsmodules. Door Azure Key Vault beheerde HSM is een service met één tenant die u volledige beheercontrole biedt over het beveiligingsdomein van uw organisatie en bijbehorende encryptiesleutels.
Aanbevelingen voor effectief sleutelbeheer
Platformcontroles zijn weliswaar noodzakelijk, maar zijn niet het enige aspect van effectief sleutelbeheer. Microsoft presenteert ook verschillende best practices voor effectief sleutelbeheer.
Toegangsbeheer
Als u de Standard- of Premium-SKU's van Azure Key Vault gebruikt, raden we u aan één kluis per toepassing, omgeving en regio te implementeren om minimale bevoegdheden af te dwingen. Als u Beheerde HSM gebruikt, kan het implementeren van een kleiner aantal gecentraliseerde kluizen de voorkeur hebben om de kosten onder controle te houden. Ongeacht de SKU die u implementeert, moet u de kluistoegang strak reguleren met behulp van op rollen gebaseerd toegangsbeheer (RBAC) en ervoor zorgen dat het toegangsbeleid in elke kluis voldoet aan het principe van minimale bevoegdheden. We raden u aan toegang te verlenen aan gebruikers, groepen en toepassingen met een specifiek bereik, zoals een abonnement, een resourcegroep of alleen een specifieke sleutelkluis, met behulp van vooraf gedefinieerde rollen van Azure RBAC. Het controleren van de toegang is van cruciaal belang en wordt aanbevolen op het gebied van beheer en gegevens.
Back-up en herstel
U moet regelmatig back-ups op HSM-niveau en voor specifieke sleutels hebben. We raden u aan beveiligingsfuncties voor voorlopig verwijderen en opschonen te configureren om u te beschermen tegen onbedoelde en kwaadwillige verwijderingen. Azure Monitor, dat volledig is geïntegreerd met Beheerde HSM, wordt aanbevolen voor het bewaken en registreren van toegang tot sleutelkluizen. Zie voor meer informatie Best practices voor beheerde HSM voor Azure.
Sleutelroulatie
Zorg ervoor dat er regelmatig roulaties van door de klant beheerde sleutels (CMK's) worden uitgevoerd, waarbij de frequentie wordt bepaald door het beleid van uw organisatie. Sleutels moeten ook worden gerouleerd als een beheerder met sleuteltoegang vertrekt of van rol verandert, of als een CMK wordt gecompromitteerd. Automatische roulatie wordt ondersteund via Azure Key Vault en Beheerde HSM voor Azure. Zorg er indien mogelijk voor dat het roulatieproces wordt geautomatiseerd, zonder menselijke interactie wordt uitgevoerd en wordt getest om de effectiviteit te garanderen. In noodsituaties, zoals een gecompromitteerde sleutel, hebt u een robuust systeem nodig om geheimen onmiddellijk opnieuw te genereren. Als automatisering van dit proces niet haalbaar is, raden we u aan waarschuwingen in te stellen om het verlopen en uitvallen van certificaten te voorkomen.
Notitie
Hoewel roulerende CMK's voor vertrouwelijke VM's worden ondersteund, wordt het automatiseringsproces nog niet ondersteund. U kunt hier meer aanbevelingen bekijken.
HSM-gerelateerde aanbevelingen
Sommige klanten willen hun sleutels van gegevens gescheiden houden door de sleutels op te slaan in een externe HSM (in een cloud van derden of on-premises). Hoewel deze stap een natuurlijke overgang lijkt van het beheren van on-premises omgevingen, kan een externe HSM nieuwe risico's introduceren op de identiteits-, netwerk- en softwarelagen. Een externe HSM kan ook de prestatierisico's vergroten en problemen met zich meebrengen, zoals latentie veroorzakende netwerkproblemen, SLA-problemen veroorzaakt door problemen met de HSM van derden en onderhouds- en trainingskosten. Bovendien bieden HSM's van derden mogelijk bepaalde belangrijke functies, zoals bescherming tegen voorlopig verwijderen en opschonen, niet.
Zie voor meer informatie over de technische controles die in de soevereine landingszone (SLZ) zijn ingebouwd om passende sleutelbeheerpraktijken af te dwingen beleidsportfolio.
Certificaatbeheer
Digitale beveiligingscertificaten worden veel gebruikt om de communicatie voor cloudtoepassingen te beveiligen. De overhead die gepaard gaat met activiteiten op het gebied van certificaatbeheer, waaronder het uitgeven, rouleren en intrekken van certificaten, kan snel toenemen naarmate meer workloads naar de cloud worden gemigreerd. Klanten die hun workloads naar Microsoft Cloud for Sovereignty willen migreren, moeten hun scenario's op het gebied van digitale beveiligingscertificaten begrijpen, zodat ze certificaatbeheerplannen kunnen ontwikkelen als onderdeel van hun cloudmigratie.
Veelvoorkomende scenario's voor digitale certificaten
In deze sectie worden algemene cloudscenario's beschreven waarin digitale certificaten worden gebruikt om de communicatie te beveiligen.
Verificatie en versleuteling van websites
Websites gebruiken TLS-certificaten om hun identiteit voor bezoekers te verifiëren en de communicatie te versleutelen. Openbare websites gebruiken normaal gesproken certificaten van openbare certificeringsinstanties (CA), maar organisaties gebruiken vaak certificaten van een particuliere CA voor websites die niet openbaar zijn. In beide gevallen moeten certificaten voor websites worden verlengd wanneer ze verlopen of de integriteit van het certificaat in het geding is. Voor organisaties met een grote aanwezigheid op internet kan het beheer van deze certificaten veel planning en inspanning vergen.
Serviceverificatie
Gedistribueerde toepassingen en microservices maken vaak gebruik van een stateless sessiemodel, dat flexibiliteit biedt bij het afhandelen van toepassingsverzoeken, maar mogelijk ook aanvullende verificatie en encryptie vereist om beveiligingsrisico's te beperken. Certificaten worden vaak gebruikt voor wederzijdse verificatie tussen toepassingslagen en -onderdelen. Vaak worden deze onderdelen beheerd door gedecentraliseerde toepassingsontwikkelingsteams, waardoor het beheer van digitale certificaten moeilijk te volgen en te monitoren is binnen de hele onderneming.
Infrastructuurverificatie
Servers en netwerkapparaten maken vaak gebruik van clientcertificaten voor verificatie binnen het bedrijfsnetwerk en tijdens onderhoudsactiviteiten. Organisaties die oplossingen als Active Directory of Kerberos gebruiken, moeten doorgaans clientcertificaten voor hun geïmplementeerde infrastructuur beheren.
Andere certificaatscenario's
Oplossingen voor eindpuntbeheer maken vaak gebruik van apparaatcertificaten om apparaten van eindgebruikers, zoals pc's, laptops en mobiele apparaten, te verifiëren. Certificaten voor het ondertekenen van code worden in ontwikkelomgevingen als onderdeel van de toepassingsbeveiligingsaanpak van een organisatie gebruikt om de uitgever van software te verifiëren.
Beheer van de levenscyclus van certificaten in de cloud
Door platforms beheerde certificaten vergeleken met door de klant beheerde certificaten
Azure PaaS-services die versleuteling bieden voor gegevens in transit implementeren de versleuteling meestal met behulp van digitale certificaten die worden beheerd door het platform en zijn gekoppeld aan de standaardhostnaam die wordt toegewezen bij het maken van bronnen. Wanneer u een aangepaste domeinnaam wilt gebruiken met de bronnen die u in de cloud implementeert, moet u een certificaat configureren dat door externe gebruikers kan worden gebruikt wanneer deze toegang krijgen tot de service. Voor de onderlinge communicatie tussen Azure-services die niet zijn geconfigureerd voor het gebruik van aangepaste domeinnamen, zijn door het platform beheerde certificaten de standaardmethode voor het versleutelen van gegevens in transit. Als u certificaten wilt gebruiken die zijn gekoppeld aan aangepaste domeinnamen, raadpleegt u de documentatie voor de Azure-services die u wilt implementeren, zoals de volgende voorbeelden.
Certificaten maken met Azure Key Vault
Azure Key Vault biedt klanten cloudeigen functies voor certificaatbeheer waarmee het Azure-platform certificaten kan gebruiken die klanten maken of importeren. U kunt zelfondertekende certificaten maken in Key Vault, een certificaat aanvragen bij een uitgever of een certificaat van uw eigen certificeringsinstantie importeren. Met Key Vault kunt u ook beleid voor certificaten opgeven, bijvoorbeeld of u certificaten exporteerbaar of niet-exporteerbaar wilt maken.
- Aan de slag met Key Vault-certificaten
- Key Vault integreren met geïntegreerde certificeringsinstanties
- Een certificaatondertekeningsaanvraag maken en samenvoegen in Key Vault
Certificaten on-premises maken en deze beheren in Azure
Als u certificaten van een on-premises certificeringsinstantie wilt uitgeven, kunt u deze certificaten in Azure Key Vault importeren voor gebruik door andere Azure-services. Nadat een certificaat is geëxporteerd als een PEM- of PFX-bestand, kunt u het importeren in Azure Key Vault.
Certificaten on-premises maken en beheren met oplossingen van derden
Organisaties die al over certificaatbeheermogelijkheden op bedrijfsniveau beschikken, kunnen overwegen of ze hun on-premises-oplossingen willen integreren met hun workloads in de cloud. Veel on-premises oplossingen voor certificeringsinstanties en certificaatbeheer kunnen met behulp van de REST API en beheerde identiteiten worden geïntegreerd met Key Vault.
Gedecentraliseerd certificaatbeheer
Eén manier om de mogelijkheden voor certificaatbeheer van een organisatie te schalen, is door middel van de decentralisatie van de uitgifte en het beheer van certificaten naar toepassings- en infrastructuurteams. Met oplossingen zoals Azure Key Vault kan een organisatie acceptabele sleutelbeheertechnologieën en -processen standaardiseren, zonder het beheer van die sleutelbeheerprocessen te centraliseren in één operationeel team. Er kunnen verschillende strategieën worden gebruikt om verantwoordelijkheden voor sleutelbeheer dichter bij toepassings- en infrastructuurteams te delegeren.
Beheerde certificaten
Openbare websites waarvoor certificaten van een openbare certificeringsinstantie vereist zijn, kunnen profiteren van beheerde certificaten in Azure PaaS-services, zoals Azure App Service of Azure Front Door. Certificaten van geïntegreerde certificeringsinstanties kunnen ook worden gemaakt, beheerd en gerouleerd in Azure Key Vault. Voor meer informatie raadpleegt u de volgende bronnen:
- Aangepaste domeinen en certificaten in Azure App Service
- Aangepaste domeinen in Azure Front Door
- Key Vault integreren met certificeringsinstantie DigiCert
De uitgifte van certificaten automatiseren in CI/CD-pijplijnen
Organisaties die de Dev/Ops-processen invoeren, kunnen de uitgifte van certificaten automatiseren als onderdeel van hun CI/CD-pijplijnen. Bij deze aanpak wordt een aantal verantwoordelijkheden voor certificaatbeheer gedelegeerd aan toepassingsteams en kunnen deze hun eigen certificaten inrichten met behulp van systeemeigen Azure-services, zoals Azure DNS, Azure App Service en Azure Key Vault.
Eindpuntcertificaten beheren
Eindpuntcertificaten worden gebruikt in IaaS-workloads, waarbij servers en services certificaten gebruiken voor verificatie. Omdat dit scenario is gekoppeld aan virtuele machines, kunnen organisaties deze certificaten beheren met dezelfde configuratiebeheertools of automatiseringstools bouwen die worden gebruikt om de configuraties van virtuele machines te beheren.