Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Политика Azure — это средство управления, которое дает пользователям возможность аудита и управления своей средой Azure в большом масштабе. Политика Azure позволяет накладывать ограничения на ресурсы Azure, чтобы обеспечить их соответствие назначенным правилам политики. Он позволяет пользователям выполнять аудит, реализацию политик в режиме реального времени и устранение среды Azure. Результаты аудита, проводимые в соответствии с политикой, доступны пользователям на доске мониторинга соответствия, где они смогут увидеть детализированную информацию о том, какие ресурсы и компоненты соответствуют требованиям. Дополнительные сведения см. в разделе "Обзор службы политики Azure".
Примеры сценариев использования:
- В настоящее время у вас нет решения для выполнения аудита в организации или вы проводите ручной аудит вашей среды, запрашивая отдельные команды в организации, чтобы сообщить о соответствии требованиям. Вы ищете способ автоматизировать эту задачу, выполнять аудиты в режиме реального времени и гарантировать точность аудита.
- Вы хотите применить политики безопасности компании и запретить пользователям создавать определенные криптографические ключи, но у вас нет автоматического способа заблокировать их создание.
- Вы хотите расслабить некоторые требования для тестовых команд, но вы хотите поддерживать жесткие элементы управления рабочей средой. Вам нужен простой автоматизированный способ разделения принудительного применения ресурсов.
- Вы хотите убедиться, что сможете отменить применение новых политик, если возникнет проблема на рабочем сайте. Чтобы отключить принудительное применение политики, вам потребуется решение с одним щелчком мыши.
- Вы используете стороннее решение для аудита среды и хотите использовать внутреннее предложение Майкрософт.
Типы эффектов и рекомендаций политики
Аудит: Если эффект политики установлен на аудит, политика не приведет к разрушающим изменениям в вашей среде. Он оповещает вас только о компонентах, таких как ключи, которые не соответствуют определениям политик в указанной области, помечая эти компоненты как несовместимые на панели мониторинга соответствия политике. Аудит применяется по умолчанию, если не выбран эффект политики.
Запрет. Если для политики задано значение "Запрет", политика блокирует создание новых компонентов (например, слабых ключей) и блокирует новые версии существующих ключей, которые не соответствуют определению политики. Существующие несоответствующие ресурсы в управляемом HSM не затрагиваются, а возможности аудита продолжают работать.
Ключи на криптографии на эллиптических кривых должны иметь указанные названия кривых.
Если вы используете криптографию на эллиптических кривых или ключи ECC, вы можете настроить разрешенный список имен кривых из этого списка. Параметр по умолчанию позволяет использовать все следующие имена кривых.
- P-256
- P-256K
- P-384
- P-521
Ключи должны иметь даты окончания срока действия
Эта политика выполняет аудит всех ключей в управляемых системы HSM и отмечает те ключи, у которых не установлена дата окончания срока действия, как несоответствующие. Эту политику можно также использовать для блокировки создания ключей, которые не имеют набора дат окончания срока действия.
Ключи должны иметь больше указанного числа дней до истечения срока действия
Если ключ слишком близок к истечению срока действия и организация не выполнит его смену своевременно, работа служб может остановиться. Ключи следует заменять в указанное количество дней до истечения срока действия, чтобы обеспечить достаточное время для реагирования на потенциальные сбои. Эта политика выполняет аудит ключей, находящихся на грани истечения срока действия, и позволяет задать это предельное значение в днях. Вы также можете использовать эту политику, чтобы предотвратить создание новых ключей слишком близко к дате окончания срока действия.
Ключи, использующие криптографию RSA, должны иметь указанный минимальный размер ключа
Использование ключей RSA с меньшими размерами ключей не является безопасной практикой проектирования. Вы можете подпадать под действие стандартов аудита и сертификации, которые обязывают использовать минимальный размер ключа. Следующая политика позволяет задать минимальное требование к размеру ключа в управляемом HSM. Вы можете провести аудит ключей, которые не удовлетворяют этому минимальному требованию. Эта политика также может использоваться для блокировки создания новых ключей, которые не соответствуют минимальному размеру ключа.
Включение и управление политикой управляемого HSM с помощью Azure CLI
Предоставление разрешения на проверку ежедневно
Чтобы проверить соответствие ключей инвентаризации пула, клиент должен назначить роль "Управляемый криптозритель HSM" службе управления ключами управляемого HSM в Azure Key Vault(идентификатор приложения: a1b76039-a76c-499f-a2dd-846b4cc32627), чтобы получить доступ к метаданным ключа. Без предоставления разрешения ключи инвентаризации не будут сообщаться в отчете о соответствии политике Azure, проверяются только новые ключи, обновленные ключи, импортированные ключи и повернутые ключи. Чтобы это сделать, пользователю, имеющему роль "администратор управляемого HSM", необходимо выполнить следующие команды Azure CLI:
В окнах:
az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id
Скопируйте напечатанный id и вставьте его в следующую команду:
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>
На Linux или на подсистеме Windows для Linux:
spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>
Создание назначений политик — определение правил аудита и /или запрета
Назначения политик имеют конкретные значения, определенные для параметров определений политик. На портале Azure перейдите в раздел "Политика", отфильтруйте категорию Key Vault, найдите эти четыре определения политик управления ключами предварительной версии. Выберите его, а затем нажмите кнопку "Назначить" сверху. Заполните каждое поле. Если назначение политики предназначено для отказов в запросе, используйте четкое имя политики, так как при отклонении запроса имя назначения политики отображается в ошибке. Нажмите кнопку "Далее" снимите флажок "Показать только параметры, необходимые для ввода или проверки", и введите значения для параметров определения политики. Пропустите "Исправление" и создайте задание. Службе требуется до 30 минут для принудительного применения назначений "Запретить".
- Управляемые ключи HSM в Azure Key Vault должны иметь дату окончания срока действия
- Управляемые ключи HSM в Azure Key Vault с помощью шифрования RSA должны иметь указанный минимальный размер ключа
- Управляемые ключи HSM в Azure Key Vault должны иметь больше указанного числа дней до истечения срока действия.
- Управляемые ключи HSM в Azure Key Vault, использующие криптографию на эллиптических кривых, должны иметь указанные имена кривых.
Вы также можете выполнить эту операцию с помощью Azure CLI. См. статью "Создание назначения политики", чтобы определить несоответствующие ресурсы с помощью Azure CLI.
Проверка настройки
Попробуйте обновить или создать ключ, который нарушает правило: если у вас назначена политика с эффектом "Запретить", при этом ваш запрос получит ответ с кодом 403. Просмотрите результат сканирования ключей инвентаризации политик аудита. Через 12 часов проверьте меню соответствия политике, отфильтруйте категорию "Key Vault" и найдите свои назначения. Выберите каждый из них, чтобы проверить отчет о результатах соответствия.
Устранение неполадок
Если результаты соответствия пула отсутствуют через один день, проверьте успешность назначения роли шага 2. Без шага 2 служба управления ключами не может получить доступ к метаданным ключа. Команда Azure CLI az keyvault role assignment list может проверить, назначена ли роль. Также проверьте, на каком уровне была назначена политика.
Дальнейшие шаги
- Ведение журнала и часто задаваемые вопросы о политике Azure для хранилища ключей
- Дополнительные сведения о службе политики Azure
- См. примеры Key Vault: встроенные определения политик для Key Vault.
- Сведения о Microsoft Cloud Security Benchmark в Azure Key Vault