Integrowanie usługi Azure Key Vault z usługą Azure Policy

Azure Policy to narzędzie do zarządzania, które umożliwia użytkownikom audytowanie i zarządzanie środowiskiem platformy Azure na dużą skalę, pozwalając im ustanawiać ograniczenia na zasobach Azure, aby zapewnić zgodność z przypisanymi regułami polityk. Umożliwia to użytkownikom przeprowadzanie audytu, egzekwowanie w czasie rzeczywistym i naprawę środowiska platformy Azure. Wyniki audytów przeprowadzanych zgodnie z polityką są dostępne dla użytkowników w panelu zgodności, gdzie mogą przyjrzeć się szczegółowo, które zasoby i komponenty są zgodne lub niezgodne. Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Policy.

Kilka przykładowych scenariuszy użycia:

• Chcesz poprawić poziom zabezpieczeń firmy, wdrażając wymagania dotyczące minimalnych rozmiarów kluczy i maksymalnych okresów ważności certyfikatów w magazynach kluczy firmy, ale nie wiesz, które zespoły będą zgodne, a które nie.
• Obecnie nie masz rozwiązania do przeprowadzania inspekcji w całej organizacji lub przeprowadzasz ręczne inspekcje środowiska, prosząc poszczególne zespoły w organizacji o zgłaszanie zgodności. Szukasz sposobu automatyzowania tego zadania, przeprowadzania inspekcji w czasie rzeczywistym i zagwarantowania dokładności inspekcji.
• Chcesz wymusić zasady zabezpieczeń firmy i uniemożliwić osobom tworzenie certyfikatów z podpisem własnym, ale nie masz zautomatyzowanego sposobu blokowania ich tworzenia.
• Chcesz złagodzić pewne wymagania dla zespołów testowych, ale chcesz zachować ścisłą kontrolę nad środowiskiem produkcyjnym. Potrzebujesz prostego zautomatyzowanego sposobu oddzielania egzekwowania w odniesieniu do swoich zasobów.
• Chcesz mieć pewność, że możesz wycofać wymuszanie nowych zasad w przypadku wystąpienia problemu z witryną na żywo. Aby wyłączyć wymuszanie zasad, potrzebne jest jedno kliknięcie.
• Korzystasz z rozwiązania innej firmy do przeprowadzania inspekcji środowiska i chcesz użyć wewnętrznej oferty firmy Microsoft.

Typy efektów i wskazówek dotyczących zasad

Podczas wymuszania zasad można określić jej wpływ na wynikową ocenę. Każda definicja zasad umożliwia wybranie jednego z wielu efektów. W związku z tym wymuszanie zasad może zachowywać się inaczej w zależności od typu operacji, którą oceniasz. Ogólnie rzecz biorąc, efekty dla zasad integrujących się z usługą Key Vault obejmują:

• Inspekcja: gdy efekt zasad jest ustawiony na Audit, zasady nie spowodują żadnych zmian powodujących zakłócenia w środowisku. Będzie ostrzegać tylko o składnikach, takich jak certyfikaty, które nie są zgodne z definicjami zasad w wybranym zakresie, oznaczając te składniki jako niezgodne na pulpicie nawigacyjnym zgodności zasad. Audyt jest domyślny, jeśli nie wybrano żadnego efektu zasady.

• Odmów: gdy efekt polityki jest ustawiony na Deny, polityka uniemożliwia tworzenie nowych składników (takich jak certyfikaty) oraz blokuje nowe wersje istniejących składników, które nie są zgodne z definicją polityki. Nie ma to wpływu na istniejące niezgodne zasoby w magazynie kluczy. Możliwości "inspekcji" nadal działają.

• Wyłączone: gdy efekt polityki jest ustawiony na Disabled, polityka nadal będzie oceniana, ale nie będzie egzekwowana, co oznacza zgodność warunku z efektem Disabled. Jest to przydatne, aby wyłączyć politykę dla określonego warunku, zamiast dla wszystkich warunków.

• Modyfikowanie: gdy efekt polityki jest ustawiony na Modify, można dodać tagi zasobów, takie jak dodanie tagu do sieci. Jest to przydatne, aby wyłączyć dostęp do sieci publicznej dla zarządzanego modułu HSM usługi Azure Key Vault. Aby wykorzystać Modify efekt, należy skonfigurować tożsamość zarządzaną dla definicji zasad za pomocą parametru .

• DeployIfNotExists: gdy efekt polityki jest ustawiony na określony, szablon wdrożeniowy jest uruchamiany po spełnieniu warunku. Może to służyć do konfigurowania ustawień diagnostycznych usługi Key Vault w celu rejestrowania danych analitycznych w obszarze roboczym. Aby wykorzystać efekt działania, należy skonfigurować zarządzaną tożsamość dla definicji zasad za pomocą parametru roleDefinitionIdsModify.

• AuditIfNotExists: gdy efekt zasad jest ustawiony na AuditIfNotExists, można zidentyfikować zasoby, które nie mają właściwości określonych w szczegółach warunku zasad. Jest to przydatne do identyfikowania magazynów kluczy, które nie mają włączonych dzienników zasobów. Aby wykorzystać efekt Modify, należy skonfigurować tożsamość zarządzaną dla definicji zasad za pomocą parametru roleDefinitionIds.

Dostępne wbudowane definicje zasad

Wstępnie określone zasady, nazywane "wbudowanymi", ułatwiają nadzór nad magazynami kluczy, dzięki czemu nie trzeba pisać zasad niestandardowych w formacie JSON, aby wymuszać powszechnie używane reguły skojarzone z najlepszymi rozwiązaniami w zakresie zabezpieczeń. Mimo że funkcje wbudowane są z góry określone, w przypadku niektórych zasad konieczne jest zdefiniowanie parametrów. Na przykład, definiując skutek polityki, można przeprowadzić inspekcję magazynu kluczy i jego obiektów przed wymuszeniem operacji odmowy, aby zapobiec przerwom w działaniu. Bieżące wbudowane funkcje usługi Azure Key Vault są podzielone na cztery główne grupy: magazyn kluczy, certyfikaty, klucze i zarządzanie wpisami tajnymi. W każdej kategorii zasady są grupowane w celu osiągnięcia określonych celów w zakresie zabezpieczeń.

Repozytoria kluczy

Kontrola dostępu

Korzystając z usługi Azure Policy, możesz kontrolować migrację do modelu uprawnień RBAC w swoich magazynach. Dowiedz się więcej na stronie Migrate from vault access policy to an Azure role-based access control model (Migrowanie z zasad dostępu magazynu do modelu uprawnień kontroli dostępu opartej na rolach na platformie Azure)

Dostęp do sieci

Zmniejsz ryzyko wycieku danych, ograniczając dostęp do sieci publicznej, włączając połączenia usługi Azure Private Link , tworząc prywatne strefy DNS, aby zastąpić rozpoznawanie nazw DNS dla prywatnego punktu końcowego i włączyć ochronę zapory, aby magazyn kluczy nie był domyślnie dostępny dla żadnego publicznego adresu IP.

Ochrona przed usunięciem

Zapobiegaj trwałej utracie danych magazynu kluczy i jego obiektów, włączając ochronę usuwania nietrwałego i przed czyszczeniem. Chociaż miękkie usuwanie umożliwia odzyskanie przypadkowo usuniętego magazynu kluczy na konfigurowalny okres przechowywania, ochrona przed trwałym usunięciem chroni przed atakami z wewnątrz przez wymuszanie obowiązkowego okresu przechowywania dla nietrwale usuniętych magazynów kluczy. Ochronę przeczyszczania można włączyć tylko po włączeniu usuwania nietrwałego. Nikt w twojej organizacji ani w firmie Microsoft nie może usunąć magazynów kluczy w okresie przechowywania po miękkim usunięciu.

Diagnostyka

Poprowadź włączenie dzienników zasobów do odtworzenia szlaków aktywności do celów dochodzenia w przypadku incydentu bezpieczeństwa lub naruszenia sieci.

Certyfikaty

Cykl życia certyfikatów

Promuj wykorzystanie certyfikatów krótkotrwałych, aby złagodzić niewykryte ataki, minimalizując czas trwania szkód i zmniejszając wartość certyfikatu dla atakujących. Podczas implementowania certyfikatów krótkotrwałych zaleca się regularne monitorowanie daty wygaśnięcia w celu uniknięcia awarii, aby można je było odpowiednio obrócić przed wygaśnięciem. Można również kontrolować akcję dotyczącą okresu żywotności określoną dla certyfikatów, które są bliskie wygaśnięcia w określonym przedziale dni lub osiągnęły określony procent swojego okresu użytkowania.

Urząd certyfikacji

Przeprowadź inspekcję lub narzucenie wyboru określonego urzędu certyfikacji w celu wystawienia certyfikatów, korzystając z jednego z zintegrowanych urzędów certyfikacji usługi Azure Key Vault (Digicert lub GlobalSign) albo niezintegrowanego urzędu certyfikacji według własnego uznania. Można również przeprowadzać inspekcję lub odrzucać tworzenie certyfikatów z podpisem własnym.

Atrybuty certyfikatu

Ogranicz typ certyfikatów magazynu kluczy, aby był oparty na kodzie RSA, ECC lub HSM. Jeśli używasz kryptografii krzywej eliptycznej lub certyfikatów ECC, możesz dostosować i wybrać nazwy krzywych, takie jak P-256, P-256K, P-384 i P-521. Jeśli używasz certyfikatów RSA, możesz wybrać minimalny rozmiar klucza dla certyfikatów na 2048 bitów, 3072 bity lub 4096 bitów.

Klucze

Klucze oparte na sprzętowym module HSM

Moduł HSM to sprzętowy moduł zabezpieczeń, który przechowuje klucze. Moduł HSM zapewnia fizyczną warstwę ochrony kluczy kryptograficznych. Klucz kryptograficzny nie może opuścić fizycznego modułu HSM, który zapewnia wyższy poziom bezpieczeństwa niż klucz programowy. Niektóre organizacje mają wymagania dotyczące zgodności, które nakazują korzystanie z kluczy HSM. Za pomocą tych zasad można przeprowadzać audyt wszystkich kluczy przechowywanych w usłudze Key Vault, które nie są wspierane przez HSM. Za pomocą tych zasad można również zablokować tworzenie nowych kluczy, które nie są obsługiwane przez moduł HSM. Te zasady będą stosowane do wszystkich typów kluczy, w tym RSA i ECC.

Cykl życia kluczy

Dzięki wbudowanym funkcjom zarządzania cyklem życia można flagować lub blokować klucze, które nie mają daty wygaśnięcia, otrzymywać alerty za każdym razem, gdy opóźnienia w rotacji kluczy mogą spowodować awarię, zapobiec utworzeniu nowych kluczy, które znajdują się blisko daty wygaśnięcia, ograniczyć okres istnienia i aktywny stan kluczy do rotacji kluczy oraz uniemożliwić działanie kluczy przez więcej niż określoną liczbę dni.

Atrybuty klucza

Ogranicz typ kluczy usługi Key Vault, aby był oparty na kodzie RSA, ECC lub HSM. Jeśli używasz kryptografii krzywej eliptycznej lub kluczy ECC, możesz dostosować i wybrać nazwy krzywych, takie jak P-256, P-256K, P-384 i P-521. Jeśli używasz kluczy RSA, możesz zastosować minimalny rozmiar klucza dla bieżących i nowych kluczy do 2048 bitów, 3072 bitów lub 4096 bitów. Należy pamiętać, że używanie kluczy RSA o mniejszych rozmiarach kluczy nie jest bezpiecznym rozwiązaniem projektowym, dlatego zaleca się zablokowanie tworzenia nowych kluczy, które nie spełniają wymagań dotyczących minimalnego rozmiaru.

Wpisy tajne

Cykl życia tajemnic

Dzięki wbudowanym funkcjom zarządzania cyklem życia można flagować lub blokować wpisy tajne, które nie mają daty wygaśnięcia, otrzymywać alerty za każdym razem, gdy opóźnienia rotacji wpisów tajnych mogą spowodować awarię, zapobiec utworzeniu nowych kluczy, które są bliskie ich daty wygaśnięcia, ograniczyć okres istnienia i aktywny stan kluczy do rotacji kluczy i uniemożliwić działanie kluczy przez więcej niż określoną liczbę dni.

Tajne atrybuty

Dowolny zwykły tekst lub zakodowany plik można przechowywać jako wpis tajny usługi Azure Key Vault. Jednak organizacja może chcieć ustawić różne zasady rotacji i ograniczenia dotyczące haseł, parametry połączenia lub certyfikatów przechowywanych jako klucze. Tag typu zawartości może pomóc użytkownikowi zobaczyć, co przechowywane jest w obiekcie tajemniczym, bez odczytywania wartości tajemnej. Możesz przeprowadzać inspekcję wpisów tajnych, które nie mają ustawionego tagu typu zawartości lub uniemożliwić tworzenie nowych wpisów tajnych, jeśli nie mają ustawionego tagu typu zawartości.

Przykładowy scenariusz

Zarządzasz magazynem kluczy używanym przez wiele zespołów, który zawiera 100 certyfikatów, i chcesz upewnić się, że żaden z certyfikatów w magazynie kluczy nie jest ważny przez więcej niż 2 lata.

1. Przypisz politykę Certyfikaty powinny mieć określony maksymalny okres ważności, określ, że maksymalny okres ważności certyfikatu wynosi 24 miesiące, i ustaw efekty polityki na "audyt".
2. Wyświetlasz raport zgodności na portalu Azure i odkrywasz, że 20 certyfikatów jest niezgodnych i ważne przez 2 lata, a pozostałe certyfikaty są zgodne.
3. Skontaktuj się z właścicielami tych certyfikatów i przekażesz nowe wymaganie dotyczące zabezpieczeń, że certyfikaty nie mogą być ważne przez dłużej niż 2 lata. Niektóre zespoły reagują, a 15 certyfikatów zostało odnowionych z maksymalnym okresem ważności wynoszącym 2 lata lub mniej. Inne zespoły nie odpowiadają, a w twoim repozytorium kluczy pozostaje 5 niezgodnych certyfikatów.
4. Zmieniasz efekt zasad przypisanych do "odmów". 5 niezgodnych certyfikatów nie jest odwołanych i nadal działa. Nie można ich jednak odnowić z okresem ważności dłuższym niż 2 lata.

Włączanie zasad magazynu kluczy i zarządzanie nimi za pośrednictwem witryny Azure Portal

Wybieranie definicji zasad

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj ciąg "Zasady" na pasku wyszukiwania i wybierz pozycję Zasady.

   Zrzut ekranu przedstawiający pasek wyszukiwania.

3. W oknie Zasady wybierz pozycję Definicje.

   Zrzut ekranu przedstawiający opcję Definicje.

4. W filtrze kategorii usuń zaznaczenie opcji Select All i wybierz opcję Key Vault.

   Zrzut ekranu przedstawiający filtr kategorii oraz wybraną kategorię Key Vault.

5. Teraz powinny być widoczne wszystkie zasady dostępne w publicznej wersji zapoznawczej dla usługi Azure Key Vault. Pamiętaj, aby zapoznać się z powyższymi wskazówkami dotyczącymi zasad i wybrać zasady, które chcesz przypisać do zakresu.

   Zrzut ekranu pokazujący zasady dostępne w publicznej wersji zapoznawczej.

Przypisywanie zasad do zakresu

1. Wybierz zasady, które chcesz zastosować, w tym przykładzie są wyświetlane zasady Zarządzanie okresem ważności certyfikatu. Wybierz przycisk przypisz w lewym górnym rogu.

   Zrzut ekranu przedstawiający zasady Zarządzanie okresem ważności certyfikatu.

2. Wybierz subskrypcję, w której mają być stosowane zasady. Zakres można ograniczyć tylko do jednej grupy zasobów w ramach subskrypcji. Jeśli chcesz zastosować zasady do całej subskrypcji i wykluczyć niektóre grupy zasobów, możesz również skonfigurować listę wykluczeń. Ustaw selektor egzekwowania zasad na Włączone, jeśli chcesz, aby skutki zasad (inspekcja lub odmowa) zostały wprowadzone w życie lub Wyłączone, aby wyłączyć ich działanie (inspekcja lub odmowa).

   Zrzut ekranu pokazujący, gdzie można wybrać ograniczenie zakresu tylko do jednej grupy zasobów w ramach subskrypcji.

3. Wybierz kartę parametry w górnej części ekranu, aby określić maksymalny okres ważności w żądanych miesiącach. Jeśli musisz wprowadzić parametry, możesz usunąć zaznaczenie opcji "Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu". Wybierz kontrolę lub odrzuć, aby uzyskać skutek polityki zgodnie ze wskazówkami w powyższych sekcjach. Następnie wybierz przycisk Przejrzyj i utwórz.

   Zrzut ekranu przedstawiający zakładkę Parametry, na której można określić maksymalny okres ważności w miesiącach, jakie chcesz.

Wyświetlanie wyników zgodności

1. Wróć do panelu Zasady i wybierz kartę Zgodność. Kliknij przypisanie zasad, aby wyświetlić wyniki zgodności.

   Zrzut ekranu przedstawiający zakładkę Zgodność, na której możesz wybrać przypisanie zasad, dla którego chcesz wyświetlić wyniki zgodności.

2. Na tej stronie można filtrować wyniki według sejfów zgodnych z wymogami lub niezgodnych z wymogami. W tym miejscu możesz wyświetlić listę niezgodnych magazynów kluczy w zakresie przypisania zasad. Magazyn jest uznawany za niezgodny, jeśli którykolwiek ze składników (certyfikatów) w magazynie jest niezgodny. Możesz wybrać pojedynczy magazyn, aby wyświetlić poszczególne komponenty (certyfikaty), które nie spełniają norm.

3. Wyświetlanie nazwy składników w magazynie, które są niezgodne

   Zrzut ekranu pokazujący, gdzie można zobaczyć nazwy składników w magazynie, które są niezgodne.

4. Jeśli chcesz sprawdzić, czy użytkownicy nie mają możliwości tworzenia zasobów w Key Vault, możesz kliknąć na kartę Component Events (wersja zapoznawcza), aby wyświetlić podsumowanie odrzuconych operacji certyfikatów wraz z informacjami o osobie żądającej i znacznikach czasowych żądań.

   Omówienie działania usługi Azure Key Vault

Ograniczenia funkcji

Przypisanie reguły z efektem "odmówienia" może zająć do 30 minut (w przypadku średnim) i 1 godzinę (w przypadku najgorszym), zanim zacznie blokować tworzenie niezgodnych zasobów. Opóźnienie odnosi się do następujących scenariuszy —

1. Przypisano nowe zasady.
2. Istniejące zadanie polityki jest modyfikowane.
3. Nowy KeyVault (zasób) jest tworzony w zakresie działania z istniejącymi zasadami.

Ocena zasad istniejących składników w magazynie może potrwać do 1 godziny (średni przypadek) i 2 godziny (najgorszy przypadek), zanim wyniki zgodności będą widoczne w interfejsie użytkownika portalu.

Jeśli wyniki zgodności są wyświetlane jako "Nie uruchomiono", może to być spowodowane następującymi przyczynami:

• Wycena polityki nie została jeszcze zakończona. Opóźnienie początkowej oceny może potrwać do 2 godzin w najgorszym scenariuszu.
• W zakresie przypisania zasad nie ma żadnych magazynów kluczy.
• Nie ma magazynów kluczy z certyfikatami w zakresie przypisania zasad.

Następne kroki

• Rejestrowanie i często zadawane pytania dotyczące zasad platformy Azure dla usługi Key Vault
• Dowiedz się więcej o usłudze Azure Policy
• Zobacz Przykłady usługi Key Vault: wbudowane definicje zasad usługi Key Vault
• Dowiedz się więcej o benchmarku zabezpieczeń chmury Microsoft w usłudze Key Vault.