Controllo di accesso per il modulo di protezione hardware gestito

Il modulo di protezione hardware gestito di Azure Key Vault è un servizio cloud che consente di proteggere le chiavi di crittografia. Poiché questi dati sono sensibili e critici per l'azienda, è necessario proteggere i moduli di protezione hardware gestiti consentendo solo alle applicazioni autorizzate e agli utenti di accedere ai dati.

Questo articolo offre una panoramica del modello di controllo di accesso del modulo di protezione hardware gestito. Verranno illustrate l'autenticazione e l'autorizzazione e sarà descritto come proteggere l'accesso ai moduli di protezione hardware gestiti.

Nota

Il provider di risorse di Azure Key Vault supporta due tipi di risorse: insiemi di credenziali e moduli di protezione hardware gestiti. Il controllo di accesso descritto in questo articolo si applica solo ai moduli di protezione hardware gestiti. Per altre informazioni sul controllo di accesso per il modulo di protezione hardware gestito, vedere Fornire l'accesso a chiavi, certificati e segreti di Key Vault con un controllo degli accessi in base al ruolo di Azure (anteprima).

Modello di controllo di accesso

L'accesso a un modulo di protezione hardware gestito viene controllato tramite due interfacce:

  • Piano di gestione
  • Piano dati

Nel piano di gestione si gestisce il modulo di protezione hardware stesso. Le operazioni in questo piano includono la creazione e l'eliminazione di moduli di protezione hardware gestiti e il recupero delle proprietà del modulo di protezione hardware gestito.

Nel piano dati si lavora con i dati archiviati in un modulo di protezione hardware gestito. Ciò significa che si lavora con le chiavi di crittografia supportate dal modulo di protezione hardware. È possibile aggiungere, eliminare, modificare e usare le chiavi per eseguire operazioni di crittografia, gestire le assegnazioni di ruolo per controllare l'accesso alle chiavi, creare un backup completo del modulo di protezione hardware, ripristinare un backup completo e gestire il dominio di sicurezza dall'interfaccia del piano dati.

Per accedere a un modulo di protezione hardware gestito in entrambi i piani, tutti i chiamanti devono disporre dell'autenticazione e dell'autorizzazione appropriati. L'autenticazione stabilisce l'identità del chiamante. L’autorizzazione determina le operazioni che il chiamante può eseguire. Un chiamante può essere qualsiasi entità di sicurezza definita in Microsoft Entra ID: utente, gruppo, entità servizio o identità gestita.

Entrambi prevedono l’uso di Microsoft Entra ID per l'autenticazione. Per l'autorizzazione, usano sistemi diversi:

  • Il piano di gestione usa il controllo degli accessi in base al ruolo di Azure, un sistema di autorizzazione basato su Azure Resource Manager.
  • Il piano dati usa un controllo degli accessi in base al ruolo gestito a livello di modulo di protezione hardware (controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito), un sistema di autorizzazione implementato e applicato a livello di modulo di protezione hardware gestito.

Quando viene creato un modulo di protezione hardware gestito, il richiedente fornisce un elenco di amministratori del piano dati (sono supportate tutte le entità di sicurezza). Solo questi amministratori possono accedere al piano dati del modulo di protezione hardware gestito per eseguire operazioni chiave e gestire le assegnazioni di ruolo del piano dati (Controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito).

I modelli di autorizzazioni per entrambi i piani usano la stessa sintassi, ma vengono applicati a livelli diversi e le assegnazioni di ruolo usano ambiti diversi. Il controllo degli accessi in base al ruolo di Azure viene applicato da Azure Resource Manager e il controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito viene applicato dal modulo di protezione hardware gestito stesso.

Importante

La concessione dell'accesso del piano di gestione a un'entità di sicurezza non concede l'accesso al piano dati dell'entità di sicurezza. Ad esempio, un'entità di sicurezza con accesso al piano di gestione non ha automaticamente accesso alle chiavi o alle assegnazioni di ruolo del piano dati. Questo isolamento è progettato per impedire l'espansione accidentale dei privilegi che influiscono sull'accesso alle chiavi archiviate nel modulo di protezione hardware gestito.

Tuttavia, esiste un'eccezione: i membri del ruolo amministratore globale di Microsoft Entra possono sempre aggiungere utenti al ruolo amministratore del modulo di protezione hardware gestito per scopi di ripristino, ad esempio quando non sono più presenti account di amministratore del modulo di protezione hardware gestiti validi. Per altre informazioni, vedere Procedura consigliata di Microsoft Entra ID per la protezione del ruolo di Global Adminstrator.

Ad esempio, un amministratore della sottoscrizione (perché dispone delle autorizzazioni di collaboratore per tutte le risorse nella sottoscrizione) può eliminare un modulo di protezione hardware gestito nella sottoscrizione. Tuttavia, se non hanno accesso al piano dati in modo specifico tramite il controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito, non possono ottenere l'accesso alle chiavi o gestire le assegnazioni di ruolo nel modulo di protezione hardware gestito per concedere a se stessi o ad altri utenti l'accesso al piano dati.

Autenticazione Microsoft Entra

Quando si crea un modulo di protezione hardware gestito in una sottoscrizione di Azure, il modulo di protezione hardware gestito viene associato automaticamente al tenant di Microsoft Entra della sottoscrizione. Tutti i chiamanti in entrambi i piani devono essere registrati in questo tenant ed eseguire l'autenticazione per accedere al modulo di protezione hardware gestito.

L'applicazione esegue l'autenticazione con Microsoft Entra ID prima di chiamare uno dei due piani. L'applicazione può usare qualsiasi metodo di autenticazione supportato a seconda del tipo di applicazione. L'applicazione acquisisce un token per una risorsa nel piano per ottenere l'accesso. La risorsa è un endpoint nel piano di gestione o nel piano dati, a seconda dell'ambiente di Azure. L'applicazione usa il token e invia una richiesta API REST all'endpoint del modulo di protezione hardware gestito. Per altre informazioni, vedere l'intero flusso di autenticazione.

L'uso di un singolo meccanismo di autenticazione per entrambi i piani offre diversi vantaggi:

  • Le organizzazioni possono controllare centralmente l'accesso a tutti i moduli di protezione hardware gestiti nella propria organizzazione.
  • Se un utente lascia l'organizzazione, perde immediatamente l'accesso a tutti i moduli di protezione hardware gestiti nell'organizzazione.
  • Le organizzazioni possono personalizzare l'autenticazione usando opzioni in Microsoft Entra ID, ad esempio per abilitare l'autenticazione a più fattori per una maggiore sicurezza.

Endpoint delle risorse

Le entità di sicurezza accedono ai piani tramite endpoint. I controlli di accesso per i due piani funzionano in maniera indipendente. Per concedere a un'applicazione l'accesso all'uso delle chiavi in un modulo di protezione hardware gestito, si concede l'accesso al piano dati usando il controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito. Per concedere a un utente l'accesso alla risorsa del modulo di protezione hardware gestito per creare, leggere, eliminare, spostare i moduli di protezione hardware gestiti e modificare altre proprietà e tag, usare il controllo degli accessi in base al ruolo di Azure.

La tabella seguente illustra gli endpoint per il piano di gestione e il piano dati.

Piano di accesso Endpoint di accesso Operazioni Meccanismo di controllo di accesso
Piano di gestione Globale:
management.azure.com:443
Creare, leggere, aggiornare, eliminare e spostare moduli di protezione hardware gestiti

Impostare tag HSM gestiti
Controllo degli accessi in base al ruolo di Azure
Piano dati Globale:
<hsm-name>.managedhsm.azure.net:443
Chiavi: Decrypt, encrypt,
unwrap, wrap, verify, sign, get, list, update, create, import, delete, back up, restore, purge

Gestione dei ruoli del piano dati (Controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito): elencare le definizioni dei ruoli, assegnare ruoli, eliminare le assegnazioni di ruolo, definire ruoli personalizzati

Backup e ripristino: backup, ripristino, controllo dello stato delle operazioni di backup e ripristino

Dominio di sicurezza: scaricare e caricare il dominio di sicurezza
Controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito

Piano di gestione e Controllo degli accessi in base al ruolo di Azure

Nel piano di gestione si usa il controllo degli accessi in base al ruolo di Azure per autorizzare le operazioni che un chiamante può eseguire. Nel modello controllo degli accessi in base al ruolo di Azure ogni sottoscrizione di Azure ha un'istanza di Microsoft Entra ID. È possibile concedere l'accesso a utenti, gruppi e applicazioni da questa directory. L'accesso viene concesso per gestire le risorse di sottoscrizione che usano il modello di distribuzione Azure Resource Manager. Per concedere l'accesso, usare il portale di Azure, l'interfaccia della riga di comando di Azure, Azure PowerShell o API REST di Azure Resource Manager.

Creare un insieme di credenziali delle chiavi in un gruppo di risorse e gestire l'accesso usando Microsoft Entra ID. È possibile consentire a utenti o gruppi di gestire gli insiemi di credenziali delle chiavi in un gruppo di risorse. È possibile concedere l'accesso a un livello di ambito specifico assegnando i ruoli Controllo degli accessi in base ai ruoli Azure appropriati. Per concedere l'accesso a un utente in modo che possa gestire insiemi di credenziali delle chiavi, assegnare all'utente un ruolo key vault Contributor predefinito in un ambito specifico. A un ruolo Azure è possibile assegnare i livelli di ambiti seguenti:

  • Gruppo di gestione: un ruolo di Azure assegnato a livello di sottoscrizione si applica a tutte le sottoscrizioni del gruppo di gestione.
  • Sottoscrizione: un ruolo di Azure assegnato a livello di sottoscrizione si applica a tutti i gruppi di risorse e le risorse all'interno di tale sottoscrizione.
  • Gruppo di risorse: un ruolo di Azure assegnato a livello di gruppo di risorse si applica a tutte le risorse del gruppo di risorse.
  • Risorsa specifica: un ruolo di Azure assegnato per una risorsa specifica si applica a tale risorsa. In questo caso, la risorsa è un insieme di credenziali delle chiavi specifico.

Diversi ruoli sono predefiniti. Se un ruolo predefinito non soddisfa le specifiche esigenze, è possibile definire un ruolo personalizzato. Per altre informazioni, vedere Controllo degli accessi in base al ruolo di Azure: ruoli predefiniti.

Piano dati e controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito

Si concede a un'entità di sicurezza l'accesso per eseguire operazioni chiave specifiche assegnando un ruolo. Per ogni assegnazione di ruolo, è necessario specificare un ruolo e un ambito per cui si applica l'assegnazione. Per il controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito, sono disponibili due ambiti:

  • / o /keys: ambito a livello di modulo di protezione hardware. Le entità di sicurezza assegnate a un ruolo in questo ambito possono eseguire le operazioni definite nel ruolo per tutti gli oggetti (chiavi) nel modulo di protezione hardware gestito.
  • /keys/<key-name>: ambito a livello di chiave. Le entità di sicurezza assegnate a un ruolo in questo ambito possono eseguire le operazioni definite in questo ruolo solo per tutte le versioni della chiave specificata.

Passaggi successivi