Azure Yönetilen HSM'yi Azure İlkesi ile tümleştirme
Azure İlkesi, kullanıcılara Azure ortamlarını büyük ölçekte denetleme ve yönetme olanağı sağlayan bir idare aracıdır. Azure İlkesi, atanan ilke kurallarıyla uyumlu olduklarından emin olmak için Azure kaynaklarına korumalar yerleştirme olanağı sağlar. Kullanıcıların Azure ortamlarında denetim, gerçek zamanlı zorlama ve düzeltme gerçekleştirmesine olanak tanır. İlke tarafından gerçekleştirilen denetimlerin sonuçları, kullanıcılara hangi kaynakların ve bileşenlerin uyumlu olduğunu ve hangilerinin uyumlu olmadığını görebilecekleri bir uyumluluk panosunda kullanılabilir. Daha fazla bilgi için bkz. Azure İlkesi hizmetine genel bakış.
Örnek Kullanım Senaryoları:
- Şu anda kuruluşunuz genelinde denetim gerçekleştirmek için bir çözümünüz yok veya kuruluşunuzdaki tek tek ekiplerden uyumluluklarını bildirmelerini isteyerek ortamınızda el ile denetimler gerçekleştiriyorsunuz. Bu görevi otomatikleştirmenin, denetimleri gerçek zamanlı olarak gerçekleştirmenin ve denetimin doğruluğunu garanti etmenin bir yolunu arıyorsunuz.
- Şirket güvenlik ilkelerinizi zorunlu kılmak ve kişilerin belirli şifreleme anahtarları oluşturmasını durdurmak istiyorsunuz, ancak bunların oluşturulmasını engellemek için otomatik bir yolunuz yok.
- Test ekipleriniz için bazı gereksinimleri gevşetmek, ancak üretim ortamınız üzerinde sıkı denetimler sağlamak istiyorsunuz. Kaynaklarınızın uygulanmasını ayırmak için basit bir otomatik yönteme ihtiyacınız vardır.
- Canlı site sorunu varsa, yeni ilkelerin uygulanmasını geri almayı unutmayın. İlkenin uygulanmasını kapatmak için tek tıklamayla bir çözüme ihtiyacınız vardır.
- Ortamınızı denetlemek için üçüncü taraf bir çözüm kullanıyorsunuz ve bir iç Microsoft teklifi kullanmak istiyorsunuz.
İlke etkisi ve kılavuzu türleri
Denetim: İlkenin etkisi denetim olarak ayarlandığında, ilke ortamınızda hataya neden olan değişikliklere neden olmaz. Bu bileşenler, ilke uyumluluk panosunda uyumsuz olarak işaretlenerek yalnızca belirtilen kapsamdaki ilke tanımlarıyla uyumlu olmayan anahtarlar gibi bileşenler konusunda sizi uyarır. İlke etkisi seçilmezse denetim varsayılandır.
Reddet: İlkenin etkisi reddetme olarak ayarlandığında, ilke daha zayıf anahtarlar gibi yeni bileşenlerin oluşturulmasını engeller ve mevcut anahtarların ilke tanımıyla uyumlu olmayan yeni sürümlerini engeller. Yönetilen HSM içindeki mevcut uyumlu olmayan kaynaklar etkilenmez. 'Denetim' özellikleri çalışmaya devam edecektir.
Üç nokta eğrisi şifrelemesi kullanan anahtarların belirtilen eğri adlara sahip olması gerekir
Üç nokta eğri şifrelemesi veya ECC anahtarları kullanıyorsanız, aşağıdaki listeden izin verilen eğri adları listesini özelleştirebilirsiniz. Varsayılan seçenek aşağıdaki eğri adlarının tümüne izin verir.
- P-256
- P-256K
- P-384
- P-521
Anahtarlarda son kullanma tarihleri ayarlanmalıdır
Bu ilke, Yönetilen HSM'lerinizdeki tüm anahtarları denetler ve son kullanma tarihi uyumsuz olarak ayarlanmamış anahtarları işaretler. Son kullanma tarihi ayarlı olmayan anahtarların oluşturulmasını engellemek için de bu ilkeyi kullanabilirsiniz.
Anahtarların süresi dolmadan önce belirtilen sayıdan fazla günü olması gerekir
Anahtarın süresi dolmaya çok yakınsa, anahtarı döndürmek için bir kuruluş gecikmesi kesintiye neden olabilir. Anahtarlar, bir hataya tepki vermek için yeterli süre sağlamak için süre dolmadan önce belirtilen sayıda gün içinde döndürülmelidir. Bu ilke anahtarları son kullanma tarihlerine çok yakın bir tarihte denetler ve bu eşiği gün olarak ayarlamanıza olanak tanır. Bu ilkeyi, yeni anahtarların son kullanma tarihlerine çok yakın oluşturulmasını önlemek için de kullanabilirsiniz.
RSA şifrelemesi kullanan anahtarların belirtilen en düşük anahtar boyutuna sahip olması gerekir
RSA anahtarlarının daha küçük anahtar boyutlarıyla kullanılması güvenli bir tasarım uygulaması değildir. En düşük anahtar boyutunun kullanılmasını zorunlu alan denetim ve sertifikasyon standartlarına tabi olabilirsiniz. Aşağıdaki ilke, Yönetilen HSM'nizde en düşük anahtar boyutu gereksinimini ayarlamanıza olanak tanır. Bu minimum gereksinimi karşılamayan anahtarları denetleyebilirsiniz. Bu ilke, en düşük anahtar boyutu gereksinimini karşılamayan yeni anahtarların oluşturulmasını engellemek için de kullanılabilir.
Yönetilen HSM ilkesini Azure CLI aracılığıyla etkinleştirme ve yönetme
Günlük tarama izni verme
Havuzun envanter anahtarlarının uyumluluğunu denetlemek için müşterinin anahtarın meta verilerine erişebilmesi için "Yönetilen HSM Şifreleme Denetçisi" rolünü "Azure Key Vault Yönetilen HSM Anahtar İdare Hizmeti"ne ataması gerekir(Uygulama Kimliği: a1b76039-a76c-499f-a2dd-846b4cc32627). İzin verilmeden stok anahtarları Azure İlkesi uyumluluk raporunda raporlanmaz; uyumlulukta yalnızca yeni anahtarlar, güncelleştirilmiş anahtarlar, içeri aktarılan anahtarlar ve döndürülmüş anahtarlar denetlenecektir. Bunu yapmak için, Yönetilen HSM'de "Yönetilen HSM Yöneticisi" rolüne sahip bir kullanıcının aşağıdaki Azure CLI komutlarını çalıştırması gerekir:
Pencerelerde:
az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id
Yazdırılanı id
kopyalayıp aşağıdaki komutta yapıştırın:
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>
Linux'ta veya Linux'un Windows Alt Sisteminde:
spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>
İlke atamaları oluşturma - denetim ve/veya reddetme kurallarını tanımlama
İlke atamaları, ilke tanımlarının parametreleri için tanımlanmış somut değerlere sahiptir. Azure portalında "İlke" bölümüne gidin, "Key Vault" kategorisini filtreleyin ve bu dört önizleme anahtarı idare ilkesi tanımını bulun. Birini seçin ve ardından üstteki "Ata" düğmesini seçin. Her alanı doldurun. İlke ataması istek reddi içinse, ilke hakkında net bir ad kullanın çünkü bir istek reddedildiğinde ilke atamasının adı hatada görünür. İleri'yi seçin, "Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster" seçeneğinin işaretini kaldırın ve ilke tanımının parametreleri için değerler girin. "Düzeltme"yi atlayın ve atamayı oluşturun. Hizmetin "Reddet" atamalarını zorunlu kılmak için en fazla 30 dakika olması gerekir.
- Azure Key Vault Yönetilen HSM anahtarlarının son kullanma tarihi olmalıdır
- RSA şifrelemesi kullanan Azure Key Vault Yönetilen HSM anahtarları belirtilen en düşük anahtar boyutuna sahip olmalıdır
- Azure Key Vault Yönetilen HSM Anahtarlarının süresi dolmadan önce belirtilen sayıda günden fazla olması gerekir
- Üç nokta eğri şifrelemesi kullanan Azure Key Vault Yönetilen HSM anahtarları belirtilen eğri adlarına sahip olmalıdır
Bu işlemi Azure CLI'yi kullanarak da yapabilirsiniz. Bkz. Azure CLI ile uyumlu olmayan kaynakları tanımlamak için ilke ataması oluşturma.
Kurulumunuzu test edin
Kuralı ihlal eden bir anahtarı güncelleştirmeyi/oluşturmayı deneyin; "Reddet" etkisine sahip bir ilke atamanız varsa, isteğinize 403 döndürür. Denetim ilkesi atamalarının envanter anahtarlarının tarama sonucunu gözden geçirin. 12 saat sonra İlkenin Uyumluluk menüsünü kontrol edin, "Key Vault" kategorisine filtreleyin ve ödevlerinizi bulun. Uyumluluk sonucu raporunu denetlemek için bunların her birini seçin.
Sorun giderme
Bir gün sonra havuzun uyumluluk sonuçları yoksa. Rol atamasının 2. adımda başarıyla yapılıp yapılmadığını denetleyin. 2. Adım olmadan, anahtar idare hizmeti anahtarın meta verilerine erişemez. Azure CLI az keyvault role assignment list
komutu rolün atanıp atanmadığını doğrulayabilir.
Sonraki Adımlar
- Anahtar kasası için Azure ilkesine yönelik günlüğe kaydetme ve sık sorulan sorular
- Azure İlkesi hizmeti hakkında daha fazla bilgi edinin
- Bkz. Key Vault örnekleri: Key Vault yerleşik ilke tanımları
- Anahtar kasasında Microsoft bulut güvenliği karşılaştırması hakkında bilgi edinin