Control de acceso para HSM administrado

HSM administrado de Azure Key Vault es un servicio en la nube que protege las claves de cifrado. Dado que estos datos son confidenciales y críticos para su empresa, necesita proteger sus módulos de seguridad de hardware (HSM) administrados permitiendo solo a las aplicaciones y usuarios autorizados acceder a los datos.

En este artículo se proporciona información general sobre el modelo de control de acceso del HSM administrado. Se explican la autenticación y la autorización, y se describe cómo proteger el acceso a los HSM administrados.

Nota:

El proveedor de recursos de Azure Key Vault admite dos tipos de recursos: almacenes y HSM administrados. El control de acceso descrito en este artículo solo se aplica a los HSM administrados. Para más información sobre el control de acceso para HSM administrado, consulte Acceso a las claves, los certificados y los secretos de Key Vault con un control de acceso basado en rol de Azure.

Modelo de control de acceso

El acceso a un HSM administrado se controla mediante dos interfaces:

  • Plano de administración
  • Plano de datos

En el plano de administración, usted administra el propio HSM. Entre las operaciones de este plano se incluyen la creación y eliminación de HSM administrados, y la recuperación de propiedades de HSM administrado.

En el plano de datos, trabaja con los datos almacenados en un HSM administrado. Es decir, trabaja con las claves de cifrado respaldadas por HSM. Puede agregar, eliminar, modificar y usar claves para realizar operaciones criptográficas, administrar asignaciones de roles para controlar el acceso a las claves, crear una copia de seguridad de HSM completa, restaurar la copia de seguridad completa y administrar el dominio de seguridad desde la interfaz de plano de datos.

Para obtener acceso a un HSM administrado en cualquier plano, todos los llamadores deben tener una autorización y autenticación correctas. La autenticación establece la identidad del llamador. La autorización determina las operaciones que puede ejecutar el llamador. Una persona que llama puede ser cualquiera de las entidades de seguridad principales definidas en Microsoft Entra ID: usuario, grupo, principal de servicio o identidad administrada.

Ambos planos usan Microsoft Entra ID para la autenticación. Para la autorización, usan sistemas diferentes:

  • El plano de administración usa el control de acceso basado en rol de Azure (RBAC de Azure), un sistema de autorización generado en Azure Resource Manager.
  • El plano de datos usa un RBAC de nivel de HSM administrado (RBAC local de HSM administrado), un sistema de autorización implementado y aplicado en el nivel de HSM administrado.

Cuando se crea un HSM administrado, el solicitante proporciona una lista de administradores de planos de datos (se admiten todas las entidades de seguridad). Solo estos administradores pueden tener acceso al plano de datos de HSM administrado para realizar operaciones clave y administrar asignaciones de roles del plano de datos (RBAC local de HSM administrado).

Los modelos de permisos para ambos planos usa la misma sintaxis, pero se aplican en diferentes niveles y las asignaciones de roles usan distintos ámbitos. Azure Resource Manager aplica Azure RBAC del plano de administración y el propio HSM administrado aplica el RBAC local del HSM administrado de plano de datos.

Importante

Conceder acceso al plano de administración a una entidad de seguridad no concede acceso al plano de datos de la entidad de seguridad. Por ejemplo, una entidad de seguridad con acceso al plano de administración no tiene acceso automáticamente a las claves ni a las asignaciones de roles del plano de datos. Este aislamiento se hace por diseño para prevenir la expansión involuntaria de privilegios que afectan al acceso a las claves almacenadas en HSM administrado.

Pero hay una excepción: los miembros del rol Administrador global de Microsoft Entra siempre pueden agregar usuarios al rol Administrador del HSM administrado con fines de recuperación, como cuando ya no hay cuentas de Administrador del HSM administrado válidas. Para más información, consulte los procedimientos recomendados de Microsoft Entra ID para proteger el rol Administrador global.

Por ejemplo, un administrador de suscripciones (porque tienen permisos de colaborador para todos los recursos de la suscripción) puede eliminar un HSM administrado en su suscripción. Pero si no tiene acceso al plano de datos concedido específicamente a través de RBAC local de HSM administrado, no puede obtener acceso a las claves ni administrar asignaciones de roles en el HSM administrado para concederse a sí mismo u otros acceso al plano de datos.

Autenticación de Microsoft Entra

Al crear un HSM administrado en una suscripción de Azure, el HSM administrado se asocia automáticamente con el inquilino de Microsoft Entra de la suscripción. En ambos planos, todos los llamadores deben registrarse en este inquilino y autenticarse para acceder al HSM administrado.

La aplicación se autentica con Microsoft Entra ID antes de llamar a cualquier plano. La aplicación puede utilizar cualquier método de autenticación compatible según el tipo de aplicación. La aplicación adquiere un token para un recurso del plano para conceder acceso. El recurso es un punto de conexión en el plano de administración o de datos, según el entorno de Azure. La aplicación usa el token y envía la solicitud de una API de REST al punto de conexión de HSM administrado. Para más información, revise todo el flujo de autenticación.

El uso de un único mecanismo de autenticación para ambos planos tiene varias ventajas:

  • Las organizaciones pueden controlar el acceso de forma centralizada a todos los HSM administrados de su organización.
  • Si un usuario abandona la organización, al instante pierde el acceso a todos los HSM administrados de la organización.
  • Las organizaciones pueden personalizar la autenticación mediante las opciones de Microsoft Entra ID, como la habilitación de autenticación multifactor para aumentar la seguridad.

Puntos de conexión de recursos

Las entidades de seguridad acceden a los planos a través de puntos de conexión. Los controles de acceso para los dos planos funcionan de forma independiente. Para conceder acceso a una aplicación para usar las claves de un HSM administrado, debe conceder acceso al plano de datos mediante el RBAC local de HSM administrado. Para conceder acceso a un usuario a un recurso de HSM administrado para crear, leer, eliminar, trasladar los HSM administrados y editar otras propiedades y etiquetas, use RBAC de Azure.

En la siguiente tabla se muestran los puntos de conexión para los planos de administración y datos.

Plano de acceso Puntos de conexión de acceso Operaciones Mecanismo de control de acceso
Plano de administración Global:
management.azure.com:443
Creación, lectura, actualización, eliminación y traslado de HSM administrados

Establecimiento de etiquetas de HSM administrado
Azure RBAC
Plano de datos Global:
<hsm-name>.managedhsm.azure.net:443
Claves: decrypt, encrypt,
unwrap, wrap, verify, sign, get, list, update, create, import, delete, back up, restore, purge

Administración de roles de plano de datos (RBAC local de HSM administrado): enumerar definiciones de roles, asignar roles, eliminar asignaciones de roles y definir roles personalizados

Copia de seguridad y restauración: copia de seguridad, restauración, comprobación del estado de las operaciones de copia de seguridad y restauración

Dominio de seguridad: descargar y cargar el dominio de seguridad
RBAC local de HSM administrado

Plano de administración y RBAC de Azure

En el plano de administración, utilice RBAC de Azure para autorizar las operaciones que un autor de llamada puede ejecutar. En el modelo de Azure RBAC, cada suscripción de Azure tiene una instancia de Microsoft Entra ID. Puede conceder acceso a usuarios, grupos y aplicaciones desde este directorio. Se concede acceso para administrar los recursos de suscripción que usan el modelo de implementación de Azure Resource Manager. Para conceder acceso, use Azure Portal, la CLI de Azure, Azure PowerShell o las API de REST de Azure Resource Manager.

Puede crear un almacén de claves en un grupo de recursos y administrar el acceso mediante Microsoft Entra ID. Puede conceder a usuarios o grupos la capacidad de administrar los almacenes de claves en un grupo de recursos. Puede conceder acceso a un nivel de ámbito específico mediante la asignación de roles de Azure apropiados. Para conceder acceso a un usuario para administrar almacén de claves, debe asignar un rol key vault Contributor predefinido al usuario en un ámbito específico. Los siguientes niveles de ámbito se pueden asignar a un rol de Azure:

  • Grupo de administración: un rol de RBAC asignado al nivel de suscripción se aplica a todas las suscripciones de ese grupo de administración.
  • Suscripción: Un rol de Azure asignado al nivel de suscripción se aplica a todos los recursos y grupos de recursos de esa suscripción.
  • Grupo de recursos: Un rol de Azure asignado al nivel de grupo de recursos se aplica a todos los recursos de dicho grupo de recursos.
  • Recurso específico: un rol de Azure asignado a un recurso concreto se aplica a dicho recurso. En este caso, el recurso es un almacén de claves específico.

Hay varios roles predefinidos. Si un rol predefinido no se ajusta a sus necesidades, puede definir uno propio. Para más información, consulte Azure RBAC: roles integrados.

RBAC local de HSM administrado y plano de datos

Conceda a una entidad de seguridad acceso para ejecutar operaciones con claves específicas asignando un rol. Para cada asignación de roles, debe especificar un rol y ámbito para los que se aplica esa asignación. Para RBAC local de HSM administrado, hay dos ámbitos disponibles:

  • / o /keys: ámbito de nivel de HSM. Las entidades de seguridad asignadas a un rol en este ámbito pueden realizar las operaciones definidas en el rol para todos los objetos (claves) en el HSM administrado.
  • /keys/<key-name>: ámbito de nivel de clave. Las entidades de seguridad asignadas a un rol en este ámbito pueden realizar las operaciones definidas en este rol para todas las versiones de la clave especificada únicamente.

Pasos siguientes