Vom Kunden verwaltete Schlüssel (CMK) für Microsoft Foundry

Microsoft Foundry bietet robuste Verschlüsselungsfunktionen, einschließlich der Möglichkeit, kundenverwaltete Schlüssel (CMKs) zu verwenden, die in Azure Key Vault gespeichert sind, um Ihre vertraulichen Daten zu schützen. In diesem Artikel wird das Konzept der Verschlüsselung mit CMKs erläutert und schrittweise Anleitungen zum Konfigurieren von CMK mithilfe von Azure Key Vault bereitgestellt. Außerdem werden Verschlüsselungsmodelle und Zugriffssteuerungsmethoden wie Azure Role-Based Access Control (RBAC) und Tresorzugriffsrichtlinien erläutert und die Kompatibilität mit vom System zugewiesenen verwalteten Identitäten sichergestellt. Die Unterstützung für vom Benutzer zugewiesene verwaltete Identitäten (UAI) ist derzeit nur über Bicep-Vorlagen verfügbar.

Warum werden vom Kunden verwaltete Schlüssel verwendet?

Mit CMK erhalten Sie volle Kontrolle über Verschlüsselungsschlüssel, bieten einen verbesserten Schutz für vertrauliche Daten und tragen zur Einhaltung der Complianceanforderungen bei. Die wichtigsten Vorteile der Verwendung von CMKs sind:

• Verwenden Sie Ihre eigenen Schlüssel zum Verschlüsseln ruhender Daten.

• Integration in Organisationssicherheits- und Compliancerichtlinien.

• Die Möglichkeit zum Drehen oder Widerrufen von Schlüsseln zur erweiterten Kontrolle über den Zugriff auf verschlüsselte Daten.

Microsoft Foundry unterstützt die Verschlüsselung mit Ihren in Azure Key Vault gespeicherten CMKs und nutzt branchenführende Sicherheitsfeatures.

Voraussetzungen

Um CMK für Microsoft Foundry zu konfigurieren, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

1. Azure-Abonnement:
   Sie benötigen ein aktives Azure-Abonnement zum Erstellen und Verwalten von Azure-Ressourcen.

2. Azure Key Vault:

   • Sie benötigen einen vorhandenen Azure Key Vault, um Ihre Schlüssel zu speichern.
   • Sie müssen den Key Vault und die Microsoft Foundry-Ressource in derselben Azure-Region bereitstellen.
   • Führen Sie diesen Leitfaden aus, um einen Key Vault zu erstellen : Schnellstart: Erstellen eines Schlüsseltresors mithilfe des Azure-Portals.

3. Verwaltete Identitätskonfiguration:

   • Vom System zugewiesene verwaltete Identität: Stellen Sie sicher, dass Ihre Microsoft Foundry-Ressource eine vom System zugewiesene verwaltete Identität aktiviert hat.
   • Benutzerseitig zugewiesene verwaltete Identität:Die Unterstützung für UAI ist derzeit nur über Bicep-Vorlagen verfügbar. Weitere Informationen finden Sie im Bicep-Vorlagenbeispiel: GitHub-Repository: Kundenseitig verwaltete Schlüssel mit benutzerseitig zugewiesener Identität.

4. Key Vault-Berechtigungen:

   • Wenn Sie Azure RBAC verwenden, weisen Sie der verwalteten Identität die Rolle "Key Vault Crypto User" zu.
   • Wenn Sie Tresorzugriffsrichtlinien verwenden, erteilen Sie schlüsselspezifische Berechtigungen für die verwaltete Identität, z. B. Schlüssel entpacken und Schlüssel packen.

Regionale Verfügbarkeitsnotiz (UAI für CMK)

Unterstützung für Customer-Managed Keys (CMK) mit User-Assigned Managed Identities (UAI) ist derzeit in allen Azure-Regionen mit Ausnahme der folgenden Regionen verfügbar:

• Vereinigte Staaten:
  westus, centralus, southcentralus, westus2
• Europa:
  Westeuropa, Vereinigtes Königreich West, Schweiz West, Deutschland Westzentral, Frankreich Zentral, Dänemark Ost, Polen Zentral, Schweden Zentral, Norwegen Ost
• Asien-Pazifik:
  taiwannordwest, australasia (australienost, neuseelandnord), südostasien, japanost, koreanord, indonesienzentral, malaysiawest, zentralindien
• Naher Osten:
  israelcentral, katarcentral
• Afrika:
  Südafrika Nord
• Kanada:
  Kanada Ost
• Lateinamerika:
  mexikocentral
• Azure China:
  China Ost, China Ost 2, China Nord, China Nord 2

Bevor Sie CMK mit UAI konfigurieren, stellen Sie sicher, dass Sie Ihre Ressourcen in einer unterstützten Region bereitstellen. Weitere Informationen zur regionalen Unterstützung von Microsoft Foundry-Features finden Sie unter Microsoft Foundry-Funktionalitäten in Cloud-Regionen.

Schritte zum Konfigurieren von CMK

Schritt 1. Erstellen oder Importieren eines Schlüssels in Azure Key Vault

Sie speichern kundengesteuerte Schlüssel (CMKs) in Azure Key Vault. Sie können entweder einen neuen Schlüssel im Key Vault generieren oder einen vorhandenen Schlüssel importieren. Führen Sie die Schritte in den folgenden Abschnitten aus:

Generieren eines Schlüssels

1. Wechseln Sie im Azure-Portal zu Ihrem Azure Key Vault.

2. Wählen Sie unter Einstellungen die Option Schlüssel aus.

3. Wählen Sie die Option + Generieren/Importieren aus.

4. Geben Sie einen Schlüsselnamen ein, wählen Sie den Schlüsseltyp (z. B. RSA oder HSM-gesichert) aus, und konfigurieren Sie Die Schlüsselgröße und Ablaufdetails.

5. Wählen Sie "Erstellen" aus, um den neuen Schlüssel zu speichern.

   Weitere Informationen finden Sie unter Erstellen und Verwalten von Schlüsseln im Azure Key Vault.

Importieren eines Schlüssels

1. Wechseln Sie zum Abschnitt "Schlüssel " in Ihrem Key Vault.
2. Wählen Sie +Generieren/Importieren aus, und wählen Sie die Option "Importieren " aus.
3. Laden Sie das Schlüsselmaterial hoch, und stellen Sie die erforderlichen Konfigurationsdetails bereit.
4. Folgen Sie den Anweisungen, um den Importvorgang abzuschließen.

Schritt 2. Erteilen von Key Vault-Berechtigungen für verwaltete Identitäten

Konfigurieren Sie geeignete Berechtigungen für die vom System zugewiesene oder vom Benutzer zugewiesene verwaltete Identität für den Zugriff auf den Key Vault.

Systemseitig zugewiesene verwaltete Identität

1. Wechseln Sie zum Key Vault im Azure-Portal.
2. Wählen Sie Zugriffssteuerung (IAM).
3. Wählen Sie + Rollenzuweisung hinzufügen aus.
4. Weisen Sie die Rolle "Key Vault Crypto User" der vom System zugewiesenen verwalteten Identität der Microsoft Foundry-Ressource zu.

Benutzerseitig zugewiesene verwaltete Identität

1. Verwenden Sie die bereitgestellten Bicep-Vorlagen, um eine vom Benutzer zugewiesene Identität bereitzustellen und Key Vault-Berechtigungen zu konfigurieren.

2. Bestätigen Sie nach der Bereitstellung, dass die vom Benutzer zugewiesene Identität über geeignete Rollen (z. B. Key Vault Crypto Officer) oder Berechtigungen für den Key Vault verfügt.

Schritt 3. Aktivieren von CMK in Microsoft Foundry

1. Öffnen Sie die Microsoft Foundry-Ressource im Azure-Portal.
2. Wechseln Sie zum Abschnitt "Verschlüsselungseinstellungen" .
3. Wählen Sie Kundengesteuerte Schlüssel als Verschlüsselungstyp aus.
4. Geben Sie die Schlüsseltresor-URL und den Schlüsselnamen ein.
5. Wenn Sie eine benutzerdefinierte verwaltete Identität verwenden, stellen Sie sicher, dass die Bereitstellung über Bicep-Vorlagen abgeschlossen ist, da die Identität und die zugehörigen Berechtigungen bereits konfiguriert sind.

Key Vault-Zugriffsentwurf: Azure RBAC und Tresorzugriffsrichtlinien

Azure Key Vault unterstützt zwei Modelle für die Verwaltung von Zugriffsberechtigungen:

1. Azure RBAC (Empfohlen):
   • Bietet eine zentrale Zugriffssteuerung mithilfe von Azure AD-Rollen.
   • Vereinfacht die Berechtigungsverwaltung für Ressourcen in Azure.
   • Verwenden Sie die Key Vault-Dienst-Krypto-Benutzerrolle.
2. Tresorzugriffsrichtlinien:
   • Ermöglicht eine präzise Zugriffssteuerung, die für Key Vault-Ressourcen spezifisch ist.
   • Geeignet für Konfigurationen, bei denen legacy- oder isolierte Berechtigungseinstellungen erforderlich sind.

Wählen Sie das Modell aus, das den Anforderungen Ihrer Organisation entspricht.

Überwachen und Rotieren von Schlüsseln

Um optimale Sicherheit und Compliance zu gewährleisten, implementieren Sie die folgenden Methoden:

1. Aktivieren der Key Vault-Diagnose:
   Überwachen Sie die Schlüsselnutzung und Zugriffsaktivitäten, indem Sie die Diagnoseprotokollierung in Azure Monitor oder Log Analytics aktivieren.
2. Schlüssel regelmäßig wechseln:
   Erstellen Sie in regelmäßigen Abständen eine neue Version Ihres Schlüssels in Azure Key Vault.
   Aktualisieren Sie die Microsoft Foundry-Ressource, um auf die neueste Schlüsselversion in den Verschlüsselungseinstellungen zu verweisen.

Verwandte Inhalte

• Azure Key Vault – Dokumentation
• GitHub-Bicep-Beispiel: Kundengesteuerte Schlüssel mit UAI
• Übersicht über verwaltete Azure-Identitäten