Gestione delle chiavi e dei certificati in Microsoft Cloud for Sovereignty
L'autenticazione crittografica e la crittografia sono strategie efficaci per soddisfare i requisiti di riservatezza, privacy e sovranità dei dati. Tuttavia, l’efficacia di queste soluzioni dipende dalla sicurezza e dalla resilienza delle tecnologie crittografiche e dei processi operativi sottostanti. Questo articolo introduce concetti con cui dovresti avere familiarità quando pianifichi l'utilizzo di chiavi di crittografia e certificati digitali per proteggere i carichi di lavoro di cui stai eseguendo la migrazione al cloud.
Gestione delle chiavi
I materiali crittografici vengono archiviati e gestiti in Azure utilizzando Azure Key Vault, disponibile sia in modalità di distribuzione multi-tenant che a tenant singolo. Azure Key Vault (AKV) fornisce la gestione di chiavi, segreti e certificati nativi del cloud in un servizio multi-tenant supportato da moduli di sicurezza hardware convalidati FIPS 140. HSM gestito di Azure Key Vault è un servizio a tenant singolo che consente il controllo amministrativo completo sul dominio di sicurezza della tua organizzazione e sulle chiavi di crittografia associate.
Raccomandazioni per una gestione efficace delle chiavi
I controlli della piattaforma, sebbene indispensabili, non sono l'unico aspetto di una gestione efficace delle chiavi. Microsoft presenta inoltre diverse procedure consigliate per una gestione efficace delle chiavi.
Controlli di accesso
Se utilizzi gli SKU Standard o Premium di Azure Key Vault, è consigliabile distribuire un insieme di credenziali per applicazione, ambiente e area per applicare privilegi minimi. Se utilizzi HSM gestito, per gestire i costi potrebbe essere preferibile distribuire un numero inferiore di insiemi di credenziali centralizzati. Indipendentemente dallo SKU distribuito, devi regolare rigorosamente l'accesso all'insieme di credenziali utilizzando il controllo degli accessi in base al ruolo (RBAC) e garantire che i criteri di accesso in ogni insieme di credenziali aderiscano al principio del privilegio minimo. Si consiglia di concedere l'accesso a utenti, gruppi e applicazioni in un ambito specifico, ad esempio sottoscrizione, gruppo di risorse o semplicemente un insieme di credenziali delle chiavi specifico, usando i ruoli predefiniti RBAC di Azure. Il controllo dell'accesso è fondamentale e consigliato nella gestione e nei piani dati.
Backup e ripristino
Devi eseguire regolarmente backup a livello HSM e per chiavi specifiche. Ti consigliamo di configurare funzionalità di protezione con eliminazione temporanea e eliminazione per proteggerti da eliminazioni accidentali e dannose. Monitoraggio di Azure, completamente integrato con HSM gestito, è consigliato per il monitoraggio e la registrazione dell'accesso agli insiemi di credenziali delle chiavi. Per altre informazioni, vedi Procedure consigliate per HSM gestito di Azure.
Rotazione delle chiavi
Assicurati che vengano eseguite rotazioni regolari delle chiavi gestite dal cliente, con la frequenza determinata dai criteri della tua organizzazione. La rotazione delle chiavi deve avvenire anche se un amministratore con accesso alle chiavi lascia o cambia il ruolo o se una chiave gestita dal cliente viene compromessa. La rotazione automatica è supportata tramite Azure Key Vault e HSM gestito di Azure. Quando possibile, assicurati che il processo di rotazione sia automatizzato, eseguito senza alcuna interazione umana e testato per garantirne l'efficacia. In situazioni di emergenza, come nel caso di una chiave compromessa, è necessario un sistema robusto per rigenerare immediatamente i segreti. Se l'automazione di questo processo non è fattibile, ti consigliamo di impostare avvisi per prevenire scadenze e interruzioni dei certificati.
Nota
Sebbene sia supportata la rotazione delle chiavi gestite dai clienti per VM riservate, il processo di automazione non è ancora supportato. Puoi visualizzare altre raccomandazioni qui.
Raccomandazioni relative a HSM
Alcuni clienti esprimono interesse nel mantenere le proprie chiavi separate dai dati archiviando le chiavi in un HSM esterno, su un cloud di terze parti o locale. Sebbene questo passaggio possa sembrare una transizione naturale dalla gestione degli ambienti locale, un HSM esterno può introdurre nuovi rischi a livello di identità, rete e software. Un HSM esterno potrebbe anche aumentare i rischi prestazionali e introdurre preoccupazioni come problemi di rete che causano latenza, problemi con i contratti di servizio causati da problemi con l'HSM di terze parti e costi di manutenzione e formazione. Inoltre, gli HSM di terze parti potrebbero non fornire funzionalità importanti come la protezione dall'eliminazione temporanea e dall'eliminazione definitiva.
Per altre informazioni sui controlli tecnici integrati nella Sovereign Landing Zone (SLZ) per applicare pratiche di gestione chiave appropriate, consulta il portafoglio di criteri.
Gestione dei certificati
I certificati di sicurezza digitale sono ampiamente utilizzati per proteggere le comunicazioni per le applicazioni cloud. Il sovraccarico associato alle attività di gestione dei certificati, tra cui emissione, rotazione e revoca dei certificati, può aumentare rapidamente man mano che più carichi di lavoro vengono migrati al cloud. I clienti che intendono migrare i propri carichi di lavoro a Microsoft Cloud for Sovereignty devono comprendere gli scenari dei propri certificati di sicurezza digitale in modo da poter sviluppare piani di gestione dei certificati come parte della migrazione cloud.
Scenari comuni di certificati digitali
In questa sezione vengono descritti scenari cloud comuni che utilizzano certificati digitali per proteggere le comunicazioni.
Autenticazione e crittografia dei siti Web
I siti Web utilizzano i certificati TLS per verificare la propria identità ai visitatori e per crittografare le comunicazioni. I siti Web pubblici normalmente utilizzano certificati di autorità di certificazione (CA) pubbliche, ma le organizzazioni spesso utilizzano certificati di CA private per i siti Web che non sono esposti al pubblico. In qualsiasi caso, i certificati per i siti Web devono essere rinnovati quando scadono o quando l'integrità del certificato è in questione. Per le organizzazioni con un'ampia presenza sul Web, la gestione di questi certificati può richiedere una pianificazione e sforzi significativi.
Autenticazione del servizio
Le applicazioni e i microservizi distribuiti utilizzano spesso un modello di sessione stateless, che consente flessibilità nella gestione delle richieste delle applicazioni, ma potrebbe anche richiedere autenticazione e crittografia aggiuntive per mitigare i rischi per la sicurezza. I certificati vengono spesso utilizzati per l'autenticazione reciproca tra livelli e componenti dell'applicazione. Spesso questi componenti sono gestiti da team di sviluppo di applicazioni decentralizzati, il che rende difficile tracciare e monitorare la gestione dei certificati digitali a livello aziendale.
Autenticazione dell'infrastruttura
Server e dispositivi di rete utilizzano spesso certificati client per l'autenticazione nella rete aziendale e durante le attività di manutenzione. Le organizzazioni che utilizzano soluzioni come Active Directory o Kerberos in genere devono gestire i certificati client per la propria infrastruttura distribuita.
Altri scenari relativi ai certificati
Le soluzioni di gestione endpoint utilizzano spesso i certificati dei dispositivi per autenticare i dispositivi degli utenti finali come PC, laptop e dispositivi mobili. I certificati di firma del codice vengono utilizzati negli ambienti di sviluppo per verificare l'editore del software come parte dell'approccio alla sicurezza delle applicazioni di un'organizzazione.
Gestione del ciclo di vita dei certificati nel cloud
Certificati gestiti dalla piattaforma e certificati gestiti dal cliente
I servizi PaaS di Azure che forniscono crittografia per i dati in transito in genere implementano la crittografia usando certificati digitali gestiti dalla piattaforma e associati al nome host predefinito assegnato alla creazione della risorsa. Quando desideri utilizzare un nome di dominio personalizzato con le risorse che distribuisci nel cloud, devi configurare un certificato che possa essere utilizzato dagli utenti esterni quando accedono al servizio. Per la comunicazione tra servizi di Azure che non sono configurati per utilizzare nomi di dominio personalizzati, i certificati gestiti dalla piattaforma sono il mezzo predefinito per crittografare i dati in transito. Se vuoi usare certificati associati a nomi di dominio personalizzati, consulta la documentazione per i servizi di Azure che intendi distribuire, come gli esempi seguenti.
Creare certificati con Azure Key Vault
Azure Key Vault offre ai clienti funzionalità di gestione dei certificati native del cloud che consentono alla piattaforma Azure di usare i certificati creati o importati dai clienti. Puoi creare certificati autofirmati in Key Vault, richiedere un certificato a un emittente o importare un certificato dalla tua autorità di certificazione. Key Vault ti consente inoltre di specificare i criteri per i certificati, ad esempio se rendere i certificati esportabili o meno.
- Introduzione ai certificati Key Vault
- Integrazione di Key Vault con autorità di certificazione integrate
- Creare e unire una richiesta di firma del certificato in Key Vault
Creare certificati locali e gestirli in Azure
Se vuoi emettere certificati da un'autorità di certificazione locale, puoi importarli in Azure Key Vault affinché siano usati da altri servizi di Azure. Dopo che un certificato è stato esportato come file PEM o PFX, puoi importarlo in Azure Key Vault.
Creare e gestire certificati locali con soluzioni di terze parti
Le organizzazioni che dispongono già di funzionalità di gestione di certificati di livello aziendale possono valutare se integrare le proprie soluzioni locali con i carichi di lavoro nel cloud. Molte autorità di certificazione e soluzioni di gestione di certificati locali possono integrarsi con Key Vault usando l'API REST e identità gestite.
Gestione decentralizzata dei certificati
Un approccio per ampliare le funzionalità di gestione dei certificati di un'organizzazione consiste nel decentralizzare l'emissione e la gestione dei certificati ai team di applicazioni e infrastruttura. Soluzioni come Azure Key Vault consentono a un'organizzazione di standardizzare tecnologie e processi di gestione delle chiavi accettabili, senza centralizzare l'amministrazione di tali processi in un unico team operativo. È possibile utilizzare diverse strategie per delegare ulteriormente le responsabilità di gestione delle chiavi ai team delle applicazioni e dell'infrastruttura.
Certificati gestiti
I siti Web pubblici che richiedono certificati da un'autorità di certificazione pubblica possono trarre vantaggio dai certificati gestiti nei servizi PaaS di Azure, ad esempio Servizio app di Azure o Frontdoor di Azure. È inoltre possibile creare, gestire e ruotare i certificati delle autorità di certificazione integrate in Azure Key Vault. Per ulteriori informazioni, vedi le seguenti risorse:
- Domini e certificati personalizzati in Servizio app di Azure
- Domini personalizzati in Frontdoor di Azure
- Integrazione di Key Vault con l'autorità di certificazione DigiCert
Automatizzazione dell'emissione di certificati in pipeline CI/CD
Le organizzazioni che adottano i processi Dev/Ops possono automatizzare l'emissione di certificati come parte delle loro pipeline CI/CD. Questo approccio delega alcune responsabilità di gestione dei certificati ai team delle applicazioni e consente loro di effettuare il provisioning dei propri certificati usando servizi nativi di Azure come DNS di Azure, Servizio app di Azure e Azure Key Vault.
Gestione dei certificati endpoint
I certificati endpoint vengono utilizzati nei carichi di lavoro IaaS, dove server e servizi utilizzano i certificati per l'autenticazione. Poiché questo scenario è associato alle macchine virtuali, le organizzazioni possono gestire questi certificati utilizzando gli stessi strumenti di gestione della configurazione o creare strumenti di automazione utilizzati per gestire le configurazioni delle macchine virtuali.