Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Criteri di Azure è uno strumento di governance che fornisce agli utenti la possibilità di controllare e gestire l'ambiente Azure su larga scala, consentendo di inserire protezioni per le risorse di Azure per garantire che siano conformi alle regole dei criteri assegnate. Consente agli utenti di eseguire il controllo, l'applicazione delle regole in tempo reale e la correzione dell'ambiente Azure. I risultati dei controlli eseguiti dai criteri sono disponibili per gli utenti in un dashboard di conformità in cui è possibile visualizzare un elenco delle risorse e dei componenti conformi e non. Per altre informazioni, vedere Panoramica del servizio Criteri di Azure.
Esempi di scenari d'uso
- Si intende migliorare la posizione di sicurezza della società implementando requisiti relativi alle dimensioni minime delle chiavi e ai periodi di validità massimi dei certificati negli archivi di chiavi dell'azienda, tuttavia non si conoscono i team conformi e quelli che non lo sono.
- Attualmente non si dispone di una soluzione per eseguire un controllo all'interno dell'organizzazione o si eseguono controlli manuali dell'ambiente chiedendo ai singoli team all'interno dell'organizzazione di segnalare la conformità. Si cerca un modo per automatizzare questa attività, nonché eseguire controlli in tempo reale e garantirne l'accuratezza.
- Si intende applicare i criteri di sicurezza aziendali e impedire a singoli utenti di creare certificati autofirmati, ma non si dispone di un modo automatico per bloccare la creazione.
- Si intende soddisfare alcuni requisiti per i team di test, ma si desidera mantenere controlli rigidi sull'ambiente di produzione. È necessario un modo automatizzato semplice per separare l'applicazione delle risorse.
- Si desidera garantire che sia possibile eseguire il rollback dell'applicazione di nuovi criteri in caso di problemi di un sito live. È necessaria una soluzione rapida per disattivare l'applicazione dei criteri.
- Si fa affidamento su una soluzione di terze parti per il controllo dell'ambiente e si vuole usare un'offerta Microsoft interna.
Tipi di effetti dei criteri e indicazioni
Quando si applica un criterio, è possibile determinarne l'effetto sulla valutazione risultante. Ogni definizione di criterio consente di scegliere uno tra più effetti. Pertanto, l'applicazione dei criteri può comportarsi in modo diverso a seconda del tipo di operazione che si sta valutando. In generale, gli effetti per le politiche che si integrano con Key Vault includono:
Audit: quando l'effetto di un criterio è impostato su
Audit, il criterio non causa alcuna modifica che causa un'interruzione nell'ambiente. Avviserà riguardo ai componenti, ad esempio certificati, che non sono conformi alle definizioni dei criteri all'interno di un ambito specificato, contrassegnando tali componenti non conformi nel dashboard di conformità dei criteri. L'audit è predefinito se non è selezionato alcun effetto del criterio.Deny: quando l'effetto di un criterio è impostato su
Deny, il criterio blocca la creazione di nuovi componenti, ad esempio i certificati, nonché nuove versioni dei componenti esistenti non conformi alla definizione dei criteri. Le risorse non conformi esistenti in un insieme di credenziali delle chiavi non sono interessate. Le funzionalità di 'controllo' continuano a essere attive.Disabled: quando l'effetto di un criterio è impostato su
Disabled, il criterio verrà comunque valutato ma l'applicazione non avrà effetto, risultando quindi conforme alla condizione con effettoDisabled. Ciò è utile per disabilitare la politica per una condizione specifica anziché per tutte le condizioni.Modify: quando l'effetto di un criterio è impostato su
Modify, è possibile eseguire l'aggiunta di tag di risorse, come ad esempio l'aggiunta del tagDenya una rete. Ciò è utile per disabilitare l'accesso a una rete pubblica per il modulo di protezione hardware gestito di Azure Key Vault. È necessario configurare un'identità gestita per la definizione della policy tramite il parametroroleDefinitionIdsper utilizzare l'effettoModify.DeployIfNotExists: quando l'effetto di un criterio è impostato su
DeployIfNotExists, viene eseguito un modello di distribuzione quando la condizione viene soddisfatta. Può essere usato per configurare le impostazioni di diagnostica per Key Vault nell'area di lavoro Log Analytics. È necessario configurare un'identità gestita per la definizione del criterio tramite il parametroroleDefinitionIdsper usare l'effettoDeployIfNotExists.AuditIfNotExists: quando l'effetto di un criterio è impostato su
AuditIfNotExists, è possibile identificare le risorse che non dispongono delle proprietà specificate nei dettagli della condizione del criterio. Ciò è utile per identificare gli insiemi di credenziali delle chiavi che non dispongono di log delle risorse abilitati. È necessario configurare un'identità gestita per la definizione dei criteri tramite il parametroroleDefinitionIdsper usare l'effettoDeployIfNotExists.
Definizioni dei criteri predefinite disponibili
I criteri predeterminati, definiti 'predefiniti', semplificano la governance sugli insiemi di credenziali delle chiavi in modo da non dover scrivere criteri personalizzati in formato JSON per applicare le regole comunemente usate associate alle procedure di sicurezza consigliate. Anche se le funzionalità predefinite sono predeterminate, alcuni criteri richiedono di definire i parametri. Ad esempio, definendo l'effetto del criterio, è possibile controllare l'insieme di credenziali delle chiavi e i relativi oggetti prima di applicare un'operazione di negazione per evitare interruzioni. Le impostazioni predefinite correnti per Azure Key Vault sono suddivise in quattro gruppi principali: insieme di credenziali delle chiavi, certificati, chiavi e gestione dei segreti. All'interno di ogni categoria, i criteri vengono raggruppati per raggiungere obiettivi di sicurezza specifici.
Insiemi di credenziali delle chiavi
Controllo dell’accesso
Usando il servizio Criteri di Azure, è possibile gestire la migrazione al modello di autorizzazione di controllo degli accessi in base al ruolo negli insiemi di credenziali. Per altre informazioni, vedere Eseguire la migrazione dai criteri di accesso dell'insieme di credenziali a un modello di autorizzazione di controllo degli accessi in base al ruolo di Azure
| Politica | Effetti |
|---|---|
| Azure Key Vault deve usare il modello di autorizzazione di controllo degli accessi in base al ruolo | Audit (impostazione predefinita), Deny, Disabled |
Accesso alla rete
Riduci il rischio di perdita di dati limitando l'accesso alla rete pubblica, abilitando Azure Private Link, creando zone DNS private per sostituire la risoluzione DNS per un endpoint privato e abilitando la protezione del firewall affinché il Key Vault non sia accessibile per impostazione predefinita da qualsiasi IP pubblico.
Protezione dall'eliminazione
Evitare la perdita permanente di dati dell'insieme di credenziali delle chiavi e dei relativi oggetti abilitando la protezione dall'eliminazione temporanea e dalla rimozione definitiva. Anche se l'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile, la protezione dalla rimozione definitiva protegge l'utente da attacchi interni applicando un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. La protezione dalla rimozione definitiva può essere abilitata solo dopo l'abilitazione dell'eliminazione temporanea. Nessuno all'interno dell'organizzazione né Microsoft può rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea.
| Criterio | Effetti |
|---|---|
| Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea | Audit (impostazione predefinita), Deny, Disabled |
| Negli insiemi di credenziali delle chiavi deve essere abilitata la protezione dalla rimozione definitiva | Audit (impostazione predefinita), Deny, Disabled |
| Per l'HSM gestito di Azure Key Vault deve essere abilitata la protezione dalla rimozione definitiva | Audit (impostazione predefinita), Deny, Disabled |
Diagnostica
Abilitare i log delle risorse per ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa.
| Politica | Effetti |
|---|---|
| Distribuire le impostazioni di diagnostica per le istanze di Key Vault nell'hub eventi | DeployIfNotExists (impostazione predefinita) |
| Distribuire - Configurare le impostazioni di diagnostica per gli HSM gestiti di Key Vault in hub eventi | DeployIfNotExists (impostazione predefinita), Disabled |
| Distribuire - Configurare le impostazioni di diagnostica per le istanze di Azure Key Vault nell'area di lavoro Log Analytics | DeployIfNotExists (impostazione predefinita), Disabilitato |
| I log delle risorse devono essere abilitati in Key Vault | AuditIfNotExists (impostazione predefinita), Disabled |
| I log delle risorse devono essere abilitati nei moduli di protezione hardware gestiti di Azure Key Vault | AuditIfNotExists (impostazione predefinita), Disabled |
Certificati
Ciclo di vita dei certificati
Promuovere l'uso di certificati di breve durata per attenuare gli attacchi non rilevati, riducendo al minimo l'intervallo di tempo dei danni in corso e il valore del certificato per gli utenti malintenzionati. Quando si implementano certificati di breve durata, è consigliabile monitorare regolarmente la data di scadenza per evitare interruzioni, in modo che possano essere ruotati adeguatamente prima della scadenza. È inoltre possibile controllare l'azione relativa alla durata di vita specificata per i certificati che si trovano entro un certo numero di giorni dalla scadenza o che hanno raggiunto una certa percentuale della loro vita utile.
| Politica | Effetti |
|---|---|
| [Anteprima]: Per i certificati è necessario specificare il periodo massimo di validità | Effetti: Audit (impostazione predefinita), Deny, Disabled |
| [Anteprima]: I certificati non devono scadere entro il numero di giorni specificato | Effetti: Audit (impostazione predefinita), Deny, Disabled |
| I certificati devono contenere i trigger delle azioni specificate per la durata | Effetti: Audit (impostazione predefinita), Deny, Disabled |
Nota
È consigliabile applicare il criterio di scadenza dei certificati più volte con soglie di scadenza diverse, ad esempio 180, 90, 60 e 30 giorni.
Autorità di certificazione
Controllare o applicare la selezione di un'autorità di certificazione specifica per emettere i certificati basandosi su una delle autorità di certificazione integrate di Azure Key Vault (Digicert o GlobalSign) o su un'autorità di certificazione non integrata a scelta. È anche possibile controllare o negare la creazione di certificati autofirmati.
| Criterio | Effetti |
|---|---|
| I certificati devono essere emessi dall'autorità di certificazione integrata specificata | Audit (impostazione predefinita), Deny, Disabled |
| I certificati devono essere rilasciati dall'autorità di certificazione non integrata specificata | Audit (impostazione predefinita), Deny, Disabled |
Attributi dei certificati
Limitare il tipo dei certificati del key vault a RSA, ECC o supportati da HSM. Se si usano certificati con crittografia a curva ellittica (ECC), è possibile personalizzare e selezionare nomi di curve come P-256, P-256K, P-384 e P-521. Se si utilizzano certificati RSA, è possibile scegliere una dimensione minima della chiave per i certificati di 2.048, 3.072 o 4.096 bit.
| Politica | Effetti |
|---|---|
| Per i certificati è necessario usare i tipi di chiave consentiti | Audit (impostazione predefinita), Deny, Disabled |
| I certificati che usano la crittografia a curva ellittica (ECC) devono avere nomi curva consentiti | Audit (impostazione predefinita), Deny, Disabled |
| Per i certificati che usano la crittografia RSA è necessario specificare le dimensioni minime della chiave | Audit (impostazione predefinita), Deny, Disabled |
Chiavi
Chiavi con supporto HSM
Un modulo di protezione hardware è un modulo di sicurezza hardware che archivia le chiavi. Un modulo di protezione hardware fornisce un livello fisico di protezione per le chiavi crittografiche. La chiave di crittografia non può lasciare un modulo di protezione hardware fisico, che fornisce un livello di sicurezza maggiore rispetto a una chiave software. Alcune organizzazioni hanno requisiti di conformità che impongono l'uso di chiavi HSM. È possibile usare questo criterio per controllare le chiavi archiviate nel Key Vault che non sono protette da sicurezza hardware. È anche possibile usare questo criterio per bloccare la creazione delle chiavi non supportate da un modulo di protezione hardware. Questo criterio si applica a tutti i tipi di chiavi, inclusi RSA e ECC.
| Politica | Effetti |
|---|---|
| Le chiavi devono essere supportate da un modulo di protezione hardware (HSM) | Audit (impostazione predefinita), Deny, Disabled |
Ciclo di vita delle chiavi
Con le funzionalità predefinite di gestione del ciclo di vita è possibile contrassegnare o bloccare le chiavi che non hanno una data di scadenza, ricevere avvisi ogni volta che i ritardi nella rotazione delle chiavi possono comportare un'interruzione, impedire la creazione di nuove chiavi prossime alla data di scadenza, limitare la durata e lo stato attivo delle chiavi per favorire la rotazione delle chiavi e impedire che le chiavi siano attive per più di un numero di giorni specificato.
Importante
Se per la chiave è impostata una data di attivazione, il criterio precedente calcolerà il numero di giorni trascorsi dalla data di attivazione della chiave alla data corrente. Se il numero di giorni supera la soglia impostata, la chiave verrà contrassegnata come non conforme al criterio. Se per la chiave non è impostata una data di attivazione, il criterio calcolerà il numero di giorni trascorsi dalla data di creazione della chiave alla data corrente. Se il numero di giorni supera la soglia impostata, la chiave verrà contrassegnata come non conforme al criterio.
Attributi chiave
Limitare il tipo di chiavi del Key Vault a RSA, ECC o basate su HSM. Se si usano chiavi con crittografia a curva ellittica (ECC), è possibile personalizzare e selezionare nomi di curve come P-256, P-256K, P-384 e P-521. Se si usano chiavi RSA, è possibile imporre l'uso di una dimensione minima della chiave per le chiavi correnti e nuove di 2048 bit, 3072 bit o 4096 bit. Tenere presente che l'uso di chiavi RSA con dimensioni più piccole non è una procedura di progettazione sicura, pertanto è consigliabile bloccare la creazione di nuove chiavi che non soddisfano il requisito di dimensione minima.
| Politica | Effetti |
|---|---|
| Le chiavi devono essere del tipo di crittografia RSA o EC specificato | Audit (impostazione predefinita), Deny, Disabled |
| Per le chiavi che usano la crittografia a curva ellittica (ECC) è necessario specificare nomi curva | Audit (impostazione predefinita), Deny, Disabled |
| [Anteprima]: Per le chiavi dell'HSM gestito di Azure Key Vault che usano la crittografia a curva ellittica (ECC) è necessario specificare nomi curva | Audit (impostazione predefinita), Deny, Disabled |
| Per le chiavi che usano la crittografia RSA è necessario specificare le dimensioni minime della chiave | Audit (impostazione predefinita), Deny, Disabled |
| [Anteprima]: Per le chiavi dell'HSM gestito di Azure Key Vault che usano la crittografia RSA è necessario specificare le dimensioni minime della chiave | Audit (impostazione predefinita), Deny, Disabled |
Segreti
Ciclo di vita dei segreti
Con le funzionalità predefinite di gestione del ciclo di vita è possibile contrassegnare o bloccare i segreti che non hanno una data di scadenza, ricevere avvisi ogni volta che i ritardi nella rotazione dei segreti possono comportare un'interruzione, impedire la creazione di nuove chiavi prossime alla data di scadenza, limitare la durata e lo stato attivo delle chiavi per favorire la rotazione delle chiavi e impedire che le chiavi siano attive per più di un numero di giorni specificato.
| Politica | Effetti |
|---|---|
| I segreti devono avere una data di scadenza | Audit (impostazione predefinita), Deny, Disabled |
| Per i segreti il numero di giorni prima della scadenza deve essere maggiore di quello specificato | Audit (impostazione predefinita), Deny, Disabled |
| Per i segreti è necessario specificare il periodo di validità massimo | Audit (impostazione predefinita), Deny, Disabled |
| I segreti non devono essere attivi per un periodo più lungo del numero di giorni specificato | Audit (impostazione predefinita), Deny, Disabled |
Importante
Se per il segreto è impostata una data di attivazione, il criterio di cui sopra calcolerà il numero di giorni trascorsi dalla data di attivazione del segreto alla data corrente. Se il numero di giorni supera la soglia impostata, il segreto verrà contrassegnato come non conforme al criterio. Se per il segreto non è impostata una data di attivazione, questo criterio calcolerà il numero di giorni trascorsi dalla data di creazione del segreto alla data corrente. Se il numero di giorni supera la soglia impostata, il segreto verrà contrassegnato come non conforme alla politica.
Attributi segreti
Qualsiasi file in testo normale o codificato può essere archiviato come segreto in Azure Key Vault. Tuttavia, l'organizzazione può scegliere di impostare criteri di rotazione diversi e restrizioni su password, stringhe di connessione o certificati archiviati come chiavi. Un tag del tipo di contenuto può consentire a un utente di verificare cosa viene archiviato in un oggetto segreto senza leggere il valore del segreto. È possibile controllare i segreti che non hanno un tag del tipo di contenuto impostato o impedire la creazione di nuovi segreti se non è stato impostato un tag del tipo di contenuto.
| Politica | Effetti |
|---|---|
| Segreti deve avere il tipo di contenuto impostato | Audit (impostazione predefinita), Deny, Disabled |
Scenario di esempio
Si gestisce un vault delle chiavi utilizzato da più team che contiene 100 certificati e si vuole assicurarsi che nessun certificato nel vault delle chiavi sia valido per più di due anni.
- Si assegna il criterio I certificati devono avere il periodo di validità massimo specificato, si specifica che il periodo di validità massimo di un certificato sia di 24 mesi e si imposta l'effetto del criterio su "controllo".
- Visualizzi il report di conformità sul portale di Azure e scopri che 20 certificati non sono conformi e sono validi per > 2 anni, mentre i restanti certificati sono conformi.
- Si contattano i proprietari di questi certificati e si comunica il nuovo requisito di sicurezza, in base al quale i certificati non possono essere validi per più di due anni. Alcuni team rispondono e 15 certificati vengono rinnovati con un periodo di validità massimo di 2 anni o meno. Altri team non rispondono e nell'insieme di credenziali delle chiavi esistono ancora 5 certificati non conformi.
- L'effetto dei criteri assegnati viene modificato su "deny". I 5 certificati non conformi non vengono revocati e continuano a funzionare. Tali certificati, tuttavia, non possono essere rinnovati con un periodo di validità maggiore di 2 anni.
Abilitazione e gestione di un criterio dell'insieme di credenziali delle chiavi tramite il portale di Azure
Selezionare una definizione di criteri
Accedere al portale di Azure.
Cercare "Criteri" nella barra di ricerca e selezionare Criteri.
Screenshot che mostra la barra di ricerca.Nella finestra Criteri, selezionare Definizioni.
Screenshot con l'opzione Definizioni evidenziata.In Filtro categoria, deselezionare Seleziona tutto e quindi selezionare Key Vault.
Screenshot che mostra il filtro di categoria e la categoria di Key Vault selezionata.A questo punto dovrebbe essere possibile visualizzare tutti i criteri disponibili per l'anteprima pubblica, ad Azure Key Vault. Assicurarsi di leggere e comprendere la sezione delle linee guida sui criteri precedente e selezionare un criterio da assegnare a un ambito.
Screenshot che mostra le politiche disponibili per l'anteprima pubblica.
Assegnare una politica a un ambito
Selezionare un criterio che si desidera applicare, in questo esempio viene visualizzato il criterio Gestisci periodo di validità del certificato. Selezionare il pulsante Assegna nell'angolo superiore sinistro.
Screenshot che mostra il criterio "Gestione del periodo di validità del certificato".Selezionare la sottoscrizione alla quale si desidera applicare la politica. È possibile scegliere di limitare l'ambito a un singolo gruppo di risorse in una sottoscrizione. Se si desidera applicare i criteri all'intera sottoscrizione ed escludere alcuni gruppi di risorse, è anche possibile configurare un elenco di esclusione. Impostare il selettore di imposizione dei criteri su Abilitato se si desidera che l'effetto del criterio (controllo o negazione) venga applicato o su Disabilitato per disattivarne l'applicazione.
Screenshot che mostra dove è possibile scegliere di limitare l'ambito a un singolo gruppo di risorse in una sottoscrizione.Selezionare nella scheda parametri nella parte superiore della schermata per specificare il periodo di validità massimo nei mesi desiderati. Se è necessario immettere i parametri, è possibile deselezionare l'opzione 'Mostra solo i parametri che richiedono input o revisione'. Selezionare audit o deny per l'effetto del criterio seguendo le indicazioni delle sezioni precedenti. Quindi selezionare il pulsante Rivedi + Crea.
Screenshot che mostra la scheda Parametri in cui è possibile specificare il periodo di validità massimo desiderato (in mesi).
Visualizzare i risultati di conformità
Tornare al pannello dei criteri e selezionare la scheda relativa alla conformità. Fare clic sull'assegnazione di criteri per cui visualizzare i risultati di conformità.
Screenshot che mostra la scheda Conformità in cui è possibile selezionare l'assegnazione di una regola per cui si vogliono visualizzare i risultati di conformità.In questa pagina è possibile filtrare i risultati in base a insiemi di credenziali conformi o non conformi. Qui è possibile visualizzare anche un elenco di insiemi di credenziali delle chiavi non conformi all'interno dell'ambito dell'assegnazione dei criteri. Un insieme di credenziali viene considerato non conforme se uno dei componenti (certificati) presenti nell'insieme di credenziali non è conforme. È possibile selezionare un singolo insieme di credenziali per visualizzare i singoli componenti (certificati) non conformi.
Visualizzare il nome dei componenti non conformi all'interno un insieme di credenziali
Screenshot che mostra dove è possibile visualizzare il nome dei componenti all'interno di un vault che non sono conformi.Se è necessario controllare se agli utenti viene negata la possibilità di creare risorse all'interno dell'insieme di credenziali delle chiavi, fare clic sulla scheda Eventi dei componenti (anteprima) per visualizzare un riepilogo delle operazioni relative ai certificati negate con il richiedente e i timestamp delle richieste.
Panoramica del funzionamento di Azure Key Vault
Limitazioni delle funzionalità
L'assegnazione di un criterio con un effetto "Nega" può richiedere fino a 30 minuti (caso medio) e 1 ora (caso peggiore) per iniziare a negare la creazione di risorse non conformi. Il ritardo si riferisce agli scenari seguenti:
- Viene assegnato un nuovo criterio.
- Viene modificata un'assegnazione di criteri esistente.
- Viene creato un nuovo insieme di credenziali delle chiavi (risorsa) in un ambito con criteri esistenti.
La valutazione dei criteri dei componenti esistenti in un insieme di credenziali può richiedere fino a 1 ora (caso medio) e 2 ore (caso peggiore) prima che i risultati di conformità siano visualizzabili nell'interfaccia utente del portale.
Se i risultati di conformità vengono visualizzati come "non avviati", i motivi possono essere i seguenti:
- La valutazione dei criteri non è ancora stata completata. La latenza di valutazione iniziale può richiedere fino a 2 ore nello scenario peggiore.
- Non esistono insiemi di credenziali delle chiavi nell'ambito dell'assegnazione dei criteri.
- Non esistono insiemi di credenziali delle chiavi con certificati all'interno dell'ambito dell'assegnazione dei criteri.
Nota
Le modalità Provider di risorse di Criteri di Azure, ad esempio quelle per Azure Key Vault, forniscono informazioni sulla conformità nella pagina Conformità dei componenti.
Passaggi successivi
- Registrazione e domande frequenti sui criteri di Azure per l'insieme di credenziali delle chiavi
- Altre informazioni sul Servizio Criteri di Azure
- Vedere gli esempi di insiemi di credenziali: Definizioni di criteri predefiniti degli insiemi di credenziali
- Informazioni su Microsoft Cloud Security Benchmark nell'insieme di credenziali delle chiavi