Ключи, управляемые клиентом (CMKs) для Microsoft Foundry

Шифрование управляемого клиентом ключа (CMK) в Microsoft Foundry позволяет управлять шифрованием данных. Используйте пользовательские управляемые ключи, чтобы добавить дополнительный уровень защиты и обеспечить соответствие требованиям с помощью Azure Key Vault или интеграцией управляемого Azure модуля HSM.

Microsoft Foundry предоставляет надежные возможности шифрования, включая возможность использования cmKs, хранящихся в Key Vault или управляемом HSM для защиты конфиденциальных данных. Шифрование CMK применяется к неактивных данных, хранящихся в связанных учетных записях хранения ресурса Foundry, включая артефакты проекта, отправленные файлы и данные оценки.

В этой статье объясняется, как настроить шифрование CMK с помощью Key Vault или управляемого HSM для ресурса Foundry.

Преимущества CMK

• Возможность использовать собственные ключи для шифрования неактивных данных.
• Интеграция с политиками безопасности и соответствия организации.
• Возможность смены или отзыва ключей для расширенного управления доступом к зашифрованным данным.

Необходимые условия

Чтобы настроить CMK для Foundry, вам потребуется:

• Активная подписка Azure для создания ресурсов Azure и управления ими.

• Существующее хранилище ключей или управляемый HSM для хранения ключей. Эти требования также применяются:

  • Разверните хранилище ключей и ресурс Foundry в том же регионе Azure.
  • Включите временное удаление и защиту от окончательной очистки в хранилище ключей, чтобы защитить управляемые клиентом ключи от случайного или вредоносного удаления (что требуется Azure).

  Сведения о создании хранилища ключей см. в статье Quickstart: создание хранилища ключей с помощью портала Azure. Сведения о создании управляемого устройства HSM см. в статье Quickstart: подготовка и активация управляемого модуля HSM с помощью портала Azure.

• Конфигурация управляемого удостоверения:

  • Управляемая идентичность, назначенная системой, активирована для вашего ресурса Foundry.
  • Управляемое удостоверение, назначаемое пользователем. См. статью "Создание управляемого удостоверения, назначаемого пользователем".

• Разрешения хранилища ключей:

  • Для Key Vault с Azure RBAC назначьте управляемому удостоверению роль пользователя Крипто Key Vault.
  • Для Key Vault с политиками доступа к хранилищу предоставьте ключевые разрешения для управляемого удостоверения, такие как unwrapKey и wrapKey.
  • Для управляемого устройства HSM назначьте роль управляемого пользователя шифрования HSM управляемому удостоверению в соответствующей области. Дополнительные сведения см. в статье о встроенных ролях локального RBAC управляемого модуля HSM.

• Достаточно разрешений Azure:

  • Роль владельца или администратора доступа пользователей в хранилище ключей для назначения ролей RBAC. Для назначения локальных ролей RBAC используется роль администратора Управляемого HSM.
  • Роль участника или владельца ресурса Foundry для настройки параметров шифрования.

Перед настройкой CMK обязательно разверните ресурсы в поддерживаемом регионе. Дополнительные сведения о региональной поддержке функций Foundry см. в разделе Microsoft Доступность функций Foundry в облачных регионах.

Конфигурации сети хранилища ключей

При использовании частной сети с ресурсом Foundry предоставленный клиентом Azure Key Vault или управляемый HSM, на которых размещается CMK, поддерживают следующие конфигурации:

• Частная конечная точка с включенной опцией «Разрешить использование доверенными службами Microsoft»: хранилище ключей использует частную конечную точку для подключения и также разрешает доступ из доверенных служб Microsoft. Это рекомендуемая конфигурация для сред, для которых требуется частное подключение.
• "Разрешить доверенные службы Microsoft" включено (без частной конечной точки): хранилище ключей разрешает доступ из доверенных служб Microsoft через общедоступную конечную точку. Включите этот параметр, чтобы убедиться, что ресурс Foundry может получить доступ к хранилищу ключей для операций шифрования.

Чтобы настроить доступ к доверенным службам, см. Настройка Azure Key Vault брандмауэров и виртуальных сетей или Сетевую безопасность управляемого HSM.

Действия по настройке CMK

Шаг 1. Создание или импорт ключа в хранилище ключей

Чтобы создать ключ в Azure Key Vault, выполните приведенные действия.

1. На портале Azure перейдите в хранилище ключей.

2. В разделе "Параметры" выберите "Ключи".

3. Выберите и создайте или импортируйте.

4. Введите имя ключа, выберите тип ключа (например, RSA или HSM) и настройте размер ключа (минимум 2048 бит) и сведения об истечении срока действия.

5. Нажмите кнопку "Создать", чтобы сохранить новый ключ.

   Новый ключ появится в списке ключей .

Сведения о создании ключа в управляемом HSM Azure см. в статье Создание ключа HSM.

Имейте в виду следующее:

• Проекты можно обновлять от ключей, управляемых Microsoft, до КМК, но не обратно.
• Проектные КМК можно обновлять только до ключей в одном хранилище ключей.
• Расходы, связанные с хранилищем для шифрования с использованием CMK (ключа клиента), продолжаются в период мягкого удаления.

Дополнительные сведения см. в разделе "О ключах".

Импорт ключа в Key Vault:

1. В хранилище ключей перейдите в раздел "Ключи ".

2. Нажмите кнопку "Создать и импортировать", а затем выберите параметр "Импорт ".

3. Отправьте материал ключа и укажите необходимые сведения для настройки ключа.

4. Следуйте инструкциям, чтобы завершить процесс импорта.

Чтобы импортировать ключ в Управляемый HSM, см. статью Импорт ключей, защищенных HSM, в Управляемый HSM.

Шаг 2. Предоставление разрешения на доступ к хранилищу ключей управляемым удостоверениям

Настройте соответствующие разрешения для управляемого удостоверения, назначаемого системой или назначаемого пользователем, для доступа к хранилищу ключей:

хранилище ключей

1. На портале Azure перейдите в хранилище ключей.

2. Выберите контроль доступа (IAM).

3. Выберите +Добавить назначение ролей.

4. Назначьте роль Key Vault Crypto User управляемому удостоверению системы ресурса Foundry или пользовательскому управляемому удостоверению.

   Управляемое удостоверение отображается в списке назначений ролей для хранилища ключей.

Управляемый HSM

Управляемый модуль HSM использует отдельную локальную систему RBAC из Azure RBAC. Назначение ролей с помощью az keyvault role assignment create или плоскости данных управляемого устройства HSM:

1. Как администратор управляемого устройства HSM назначьте роль управляемого пользователя шифрования HSM назначаемого системой или назначаемого пользователем управляемого удостоверения ресурса Foundry. Определите область назначения для ключевой области или соответствующую область для вашего сценария.

2. Проверьте назначение при помощи az keyvault role assignment list.

Дополнительную информацию см. в разделе Контроль доступа к управляемому HSM.

Шаг 3. Включите CMK в Foundry

Вы можете активировать CMK как при создании ресурса Foundry, так и при обновлении существующего ресурса. Во время создания ресурса мастер поможет использовать управляемое удостоверение, назначаемое пользователем или назначаемое системой. Кроме того, вам предлагается выбрать хранилище ключей или управляемый HSM, где хранится ваш ключ.

Если вы обновляете существующий ресурс Foundry, выполните следующие действия, чтобы включить CMK:

1. На портале Azure откройте ресурс Foundry.

2. Перейдите к управлению ресурсами>шифрованию.

3. Выберите ключи, управляемые клиентом в качестве типа шифрования.

4. Введите URL-адрес хранилища ключей (URL-адрес хранилища ключей или URL-адрес управляемого HSM) и имя ключа.

5. Нажмите кнопку "Сохранить".

Чтобы проверить конфигурацию, перейдите в Управление ресурсами>Шифрование и убедитесь, что Ключи, управляемые клиентом отображаются в качестве активного типа шифрования с отображаемым хранилищем ключей и именем ключа.

Доступ к хранилищу: Azure RBAC и политики доступа к хранилищу

Azure Key Vault поддерживает две модели управления разрешениями доступа:

• Azure RBAC (рекомендуется):

  • Обеспечивает централизованное управление доступом с помощью ролей Microsoft Entra.
  • Упрощает управление разрешениями для ресурсов в Azure.
  • Требуется роль пользователя шифрования Key Vault.

• Политики доступа к защищенному хранилищу:

  • Разрешить детальный контроль доступа, характерный для Key Vault ресурсов.
  • Подходят для конфигураций, в которых необходимы устаревшие или изолированные параметры разрешений.

Выберите модель, которая соответствует требованиям организации. Для новых развертываний используйте Azure RBAC. Используйте политики доступа к хранилищу только в случае, если они требуются существующими требованиями организации.

Azure Managed HSM использует собственную локальную систему управления доступом (RBAC), отдельную от Azure RBAC. Для управляемого устройства HSM назначьте управляемой сущности роль пользователя криптографических операций управляемого HSM. Дополнительные сведения см. в статье о встроенных ролях локального RBAC управляемого модуля HSM.

Мониторинг и поворот ключей

Чтобы обеспечить оптимальную безопасность и соответствие требованиям, реализуйте следующие методики:

• Enable diagnostics: отслеживайте использование ключей и действия доступа, включив ведение журнала диагностики в Azure Monitor или Log Analytics для хранилища ключей или управляемого устройства HSM.
• Регулярно поворачивайте ключи: периодически создавайте новую версию ключа в хранилище ключей. Обновите ресурс Foundry, чтобы ссылаться на последнюю версию ключа в параметрах шифрования.
• Общие сведения о влиянии отзыва ключей: если отменить или удалить CMK, данные, зашифрованные с помощью этого ключа, становятся недоступными, пока ключ не будет восстановлен. Не очищайте хранилище ключей или версию ключа, не проверяя, что данные больше не нужны.

Устранение неполадок

Связанное содержимое

• документация Azure Key Vault
• документация Azure Managed HSM
• GitHub Bicep пример: ключи, управляемые клиентом, с удостоверением, назначенным пользователем
• Обзор управляемых удостоверений Azure