Integrare il modulo di protezione hardware gestito di Azure con Criteri di Azure

Criteri di Azure è uno strumento di governance che consente agli utenti di controllare e gestire con scalabilità il proprio ambiente Azure. Criteri di Azure consente di inserire protezioni per le risorse di Azure per garantire che rispettino la conformità alle regole dei criteri assegnate. Consente anche agli utenti di eseguire il controllo, l'applicazione in tempo reale e la correzione dell'ambiente Azure. I risultati dei controlli eseguiti dai criteri saranno disponibili per gli utenti in un dashboard di conformità in cui è possibile visualizzare un elenco delle risorse e dei componenti conformi e non. Per altre informazioni, vedere Panoramica del servizio Criteri di Azure.

Esempi di scenari d'uso

  • Attualmente non si dispone di una soluzione per eseguire un controllo all'interno dell'organizzazione o si eseguono controlli manuali dell'ambiente chiedendo ai singoli team all'interno dell'organizzazione di segnalare la conformità. Si cerca un modo per automatizzare questa attività, nonché eseguire controlli in tempo reale e garantirne l'accuratezza.
  • Si intende applicare i criteri di sicurezza aziendali e impedire a singoli utenti di creare determinate chiavi crittografiche, ma non si dispone di un modo automatico per bloccare la creazione.
  • Si intende soddisfare alcuni requisiti per i team di test, ma si desidera mantenere controlli rigidi sull'ambiente di produzione. È necessario separare l'applicazione delle risorse in modo semplice e automatico.
  • Si desidera garantire la possibilità di eseguire il rollback dell'applicazione di nuovi criteri in caso di problemi di un sito live. È necessaria una soluzione rapida per disattivare l'applicazione dei criteri.
  • Il controllo dell'ambiente viene seguito tramite una soluzione di terze parti e si intende usare un'offerta Microsoft interna.

Tipi di effetti dei criteri e indicazioni

Controllo: quando l'effetto di un criterio è impostato su Controllo, il criterio non comporta alcuna modifica sostanziale dell'ambiente. Nel dashboard di conformità dei criteri vengono contrassegnati i componenti non conformi, ad esempio le chiavi che non rispettano la conformità alle definizioni dei criteri in un ambito specificato. Il controllo è l'impostazione predefinita se non è selezionato alcun effetto dei criteri.

Nega: quando l'effetto di un criterio è impostato su nega, il criterio bloccherà la creazione di nuovi componenti, ad esempio chiavi più deboli, e bloccherà le nuove versioni delle chiavi esistenti che non sono conformi alla definizione dei criteri. Le risorse non conformi esistenti in un modulo di protezione hardware gestito non sono interessate. Le funzionalità di controllo continuano a essere attive.

Le chiavi che usano la crittografia a curva ellittica (ECC) devono avere i nomi di curva specificati

Se si usano chiavi con crittografia a curva ellittica (ECC), è possibile personalizzare un elenco di nomi di curve consentiti. L'opzione predefinita consente di usare tutti i nomi di curva seguenti.

  • P-256
  • P-256K
  • P-384
  • P-521

Per le chiavi devono essere impostate date di scadenza

Questo criterio controlla tutte le chiavi nei moduli di protezione hardware gestiti e contrassegna come non conformi quelle per cui non è impostata una data di scadenza. È anche possibile usare questo criterio per bloccare la creazione delle chiavi per cui non è impostata una data di scadenza.

Per le chiavi deve essere disponibile un periodo più lungo del numero di giorni specificato prima della scadenza

Se una chiave è troppo vicina alla scadenza, un ritardo dell'organizzazione nel ruotarla può generare un'interruzione. Le chiavi devono essere ruotate un numero specificato di giorni prima della scadenza per fornire tempo sufficiente per rispondere a un errore. Questo criterio controlla le chiavi troppo vicine alla data di scadenza e consente di impostare questa soglia in giorni. È anche possibile usare questo criterio per impedire la creazione di nuove chiavi troppo vicine alla data di scadenza.

Le chiavi che usano la crittografia RSA devono avere le dimensioni minime della chiave specificate

L'uso di chiavi RSA di dimensioni inferiori non è una procedura di progettazione sicura. L'organizzazione può essere soggetta a standard di controllo e certificazione che impongono l'uso di dimensioni minime delle chiavi. I criteri seguenti consentono di impostare un requisito di dimensione minima della chiave nel modulo di protezione hardware gestito. È possibile controllare le chiavi che non soddisfano questo requisito minimo. Questo criterio può anche essere usato per bloccare la creazione di nuove chiavi che non soddisfano il requisito minimo di dimensioni.

Abilitazione e gestione di un criterio del modulo di protezione hardware gestito tramite l'interfaccia della riga di comando di Azure

Concessione dell'autorizzazione per l'analisi giornaliera

Per verificare la conformità delle chiavi di inventario del pool, il cliente deve assegnare il ruolo "Controllore di crittografia HSM gestito" al "Servizio di governance delle chiavi del modulo di protezione hardware gestito di Azure Key Vault" (ID app: a1b76039-a76c-499f-a2dd-846b4cc32627) in modo da poter accedere ai metadati della chiave. Senza la concessione dell'autorizzazione, le chiavi di inventario non verranno segnalate nel report di conformità di Criteri di Azure, solo le nuove chiavi, le chiavi aggiornate, le chiavi importate e le chiavi ruotate verranno controllate a livello di conformità. A tale scopo, un utente che ha il ruolo di "Amministratore del modulo di protezione hardware gestito" nel modulo di protezione hardware gestito deve eseguire i comandi seguenti dell'interfaccia della riga di comando di Azure:

In Windows:

az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id

Copiare il id stampato e incollarlo nel comando seguente:

az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>

In Linux o nel sottosistema di Windows per Linux:

spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>

Creare assegnazioni di criteri: definire regole di controllo e/o negazione

Le assegnazioni di criteri hanno valori concreti definiti per i parametri delle definizioni dei criteri. Nel portale di Azure passare a "Criteri", filtrare nella categoria "Key Vault" e trovare queste quattro definizioni di criteri di governance delle chiavi di anteprima. Selezionarne uno, quindi selezionare il pulsante "Assegna" in alto. Compilare ogni campo. Se l'assegnazione dei criteri è destinata ai rifiuti delle richieste, usare un nome chiaro relativo al criterio perché, quando una richiesta viene negata, il nome dell'assegnazione dei criteri verrà visualizzato nell'errore. Selezionare Avanti, deselezionare "Mostra solo i parametri che richiedono input o revisione" e immettere i valori per i parametri della definizione dei criteri. Ignorare "Correzione" e creare l'assegnazione. Il servizio richiederà fino a 30 minuti per applicare le assegnazioni "Nega".

  • Le chiavi del modulo di protezione hardware gestito di Azure Key Vault devono avere una data di scadenza
  • Le chiavi del modulo di protezione hardware gestito di Azure Key Vault che utilizzano la crittografia RSA devono avere le dimensioni minime della chiave specificate
  • Per le chiavi del modulo di protezione hardware gestito di Azure Key Vault deve essere disponibile un periodo più lungo del numero di giorni specificato prima della scadenza
  • È necessario specificare i nomi di curva delle chiavi del modulo di protezione hardware gestito di Azure Key Vault che utilizzano la crittografia a curva ellittica

È anche possibile eseguire questa operazione usando l'interfaccia della riga di comando di Azure. Vedere Creare un criterio per identificare le risorse non conformi con l'interfaccia della riga di comando di Azure.

Esegui un test della tua configurazione

Provare ad aggiornare o creare una chiave che viola la regola. Se si dispone di un'assegnazione di criteri con effetto "Nega", restituirà 403 alla richiesta. Esaminare il risultato dell'analisi delle chiavi di inventario delle assegnazioni dei criteri di controllo. Dopo 12 ore, controllare il menu Conformità dei criteri, filtrare nella categoria "Key Vault" e trovare le assegnazioni. Selezionarle una per una per controllare il report dei risultati di conformità.

Risoluzione dei problemi

Se non sono presenti risultati di conformità di un pool dopo un giorno. Controllare se l'assegnazione di ruolo è stata eseguita correttamente al passaggio 2. Senza il passaggio 2, il servizio di governance delle chiavi non sarà in grado di accedere ai metadati della chiave. Il comando dell'interfaccia della riga di comando di Azure az keyvault role assignment list può verificare se il ruolo è stato assegnato.

Passaggi successivi