Chaves geridas pelo cliente (CMK) para Microsoft Foundry

A Microsoft Foundry oferece capacidades robustas de encriptação, incluindo a possibilidade de usar chaves geridas pelo cliente (CMKs) armazenadas no Azure Key Vault para proteger os seus dados sensíveis. Este artigo explica o conceito de encriptação com CMKs e fornece orientações passo a passo para configurar CMK usando o Azure Key Vault. Discute também modelos de encriptação e métodos de controlo de acessos como o Azure Role-Based Access Control (RBAC) e as Políticas de Acesso ao Vault, garantindo compatibilidade com identidades geridas atribuídas pelo sistema. O suporte para identidades geridas atribuídas pelo utilizador (UAI) está atualmente disponível apenas através dos templates Bicep.

Porque usar chaves geridas pelo cliente?

Com o CMK, obtém controlo total sobre as chaves de encriptação, proporcionando proteção reforçada para dados sensíveis e ajudando a cumprir os requisitos de conformidade. Os principais benefícios da utilização de CMKs incluem:

• Usar as suas próprias chaves para encriptar dados em repouso.

• Integração com políticas organizacionais de segurança e conformidade.

• A capacidade de rodar ou revogar chaves para maior controlo sobre o acesso a dados encriptados.

A Microsoft Foundry suporta encriptação com as suas CMKs armazenadas no Azure Key Vault, aproveitando funcionalidades de segurança líderes na indústria.

Pré-requisitos

Para configurar o CMK para o Microsoft Foundry, certifique-se de que os seguintes pré-requisitos são cumpridos:

1. Subscrição do Azure:
   Precisa de uma subscrição ativa do Azure para criar e gerir os recursos Azure.

2. Azure Key Vault:

   • Precisas de um Azure Key Vault existente para guardar as tuas chaves.
   • Deve implementar o Key Vault e o recurso Microsoft Foundry na mesma região Azure.
   • Siga este guia para criar um Cofre de Chaves: Início Rápido: Crie um Cofre de Chaves usando o portal Azure.

3. Configuração de Identidade Gerida:

   • Identidade gerida atribuída ao sistema: Assegure que o seu recurso Microsoft Foundry ativou uma identidade gerida atribuída pelo sistema.
   • Identidade gerida atribuída pelo utilizador: O suporte para UAI está atualmente disponível apenas através de modelos Bicep. Consulte o exemplo do modelo Bicep: GitHub Repository: Customer-Managed Keys with User-Assigned Identity.

4. Permissões do Cofre de Chaves:

   • Se estiveres a usar Azure RBAC, atribui o papel de Key Vault Crypto User à identidade gerida.
   • Se estiver a usar Políticas de Acesso ao Vault, conceda permissões específicas de chave à identidade gerida, como desencriptar a chave e encriptar a chave.

Nota de disponibilidade regional (UAI para CMK)

O suporte para Chaves Geridas pelo Cliente (CMK) com Identidades Geridas Atribuídas pelo Utilizador (UAI) está atualmente disponível em todas as regiões da Azure, exceto nas seguintes regiões:

• Estados Unidos:
  Westus, Centralus, Southcentralus, Westus2
• Europa:
  Europa Ocidental, Ukwest, Suíça Oeste, Alemanha Centro-Oeste, França Central, Dinamarca Este, Polónia Central, Suécia Central, Noruega Este
• Ásia-Pacífico:
  Taiwannodoeste, Australásia (Austráliaeste, Nova Zelândia Norte), Sudeste, Japão, Coreia-Central, Indonésia-Central, Malásia, Centro-Índia Central
• Médio Oriente:
  Israelcentral, Qatarcentral
• África:
  southafricanorth
• Canadá:
  Canadá Leste
• América Latina:
  MéxicoCentral
• Azure China:
  China Este, China Este 2, China Norte, China Norte 2

Antes de configurares o CMK com o UAI, certifica-te de que implementas os teus recursos numa região suportada. Consulte a disponibilidade de funcionalidades do Microsoft Foundry nas regiões da cloud para mais detalhes sobre o suporte regional para funcionalidades do Microsoft Foundry.

Passos para a Configuração de CMK

Passo 1. Criar ou importar uma chave no Azure Key Vault

Você armazena Chaves Geridas pelo Cliente (CMKs) no Azure Key Vault. Pode gerar uma nova chave dentro do Cofre de Chaves ou importar uma chave existente. Siga os passos nas secções seguintes:

Gerar uma Chave

1. Aceda ao seu Azure Key Vault no portal do Azure.

2. Em Configurações, selecione Teclas.

3. Selecione + Gerar/Importar.

4. Insira um nome de chave, escolha o tipo de chave (como RSA ou HSM) e configure o tamanho da chave e os detalhes de expiração.

5. Selecione Criar para guardar a nova chave.

   Para mais informações, consulte Criar e Gerir Chaves no Azure Key Vault.

Importar uma Chave

1. Vá à secção Chaves no seu Cofre de Chaves.
2. Seleciona + Gerar/Importar e escolhe a opção Importar .
3. Carregue o material da chave e forneça os detalhes necessários da configuração da chave.
4. Siga as instruções para concluir o processo de importação.

Passo 2. Conceder permissões de Cofre de Chaves a identidades administradas

Configure permissões apropriadas para a identidade gerida atribuída pelo sistema ou atribuída pelo utilizador para aceder ao Cofre de Chaves.

Identidade gerenciada atribuída ao sistema

1. Vai ao Cofre da Chave no portal Azure.
2. Selecione Controlo de Acesso (IAM).
3. Selecione + Adicionar atribuição de função.
4. Atribua a função Key Vault Crypto User à identidade gerida atribuída pelo sistema do recurso Microsoft Foundry.

Identidade gerenciada atribuída pelo usuário

1. Use os modelos Bicep fornecidos para implementar uma identidade atribuída pelo utilizador e configurar permissões do Key Vault.

2. Após a implementação, confirme que a identidade atribuída pelo utilizador tem funções apropriadas (como Key Vault Crypto Officer) ou permissões no Key Vault.

Passo 3. Ativar CMK no Microsoft Foundry

1. Abra o recurso Microsoft Foundry no portal Azure.
2. Vai à secção de Definições de Encriptação .
3. Selecione Chaves Geridas pelo Cliente como tipo de encriptação.
4. Introduza o URL do Key Vault e o nome da chave.
5. Se usar Identidade Gerida Atribuída ao Utilizador, certifique-se de que a implementação através dos modelos Bicep está concluída, uma vez que a identidade e respetivas permissões já estão configuradas.

Planeamento de Acesso ao Cofre de Chaves: Azure RBAC vs. Políticas de Acesso ao Cofre

O Azure Key Vault suporta dois modelos para gerir permissões de acesso:

1. Azure RBAC (Recomendado):
   • Fornece controlo de acesso centralizado usando funções Azure AD.
   • Simplifica a gestão de permissões para recursos em todo o Azure.
   • Use o papel de Utilizador Cripto do Key Vault.
2. Políticas de Acesso ao Cofre:
   • Permite controlo de acesso granular específico para os recursos do Key Vault.
   • Adequado para configurações onde são necessárias definições de permissões legadas ou isoladas.

Escolha o modelo que esteja alinhado com os requisitos da sua organização.

Teclas de monitorização e rotação

Para manter a segurança e conformidade ótimas, implemente as seguintes práticas:

1. Ativar o Diagnóstico do Cofre de Chaves:
   Monitorize a utilização de chaves e a atividade de acesso ativando o registo de diagnóstico no Azure Monitor ou Log Analytics.
2. Rodar as Teclas Regularmente:
   Crie periodicamente uma nova versão da sua chave no Azure Key Vault.
   Atualize o recurso Microsoft Foundry para referenciar a versão mais recente da chave nas suas Definições de Encriptação.

Conteúdo relacionado

• Documentação do Azure Key Vault
• Exemplo do GitHub Bicep: Chaves geridas pelo cliente com UAI
• Azure Managed Identities Overview