Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Criteri di Azure è uno strumento di governance che consente agli utenti di controllare e gestire l'ambiente di Azure su larga scala. Azure Policy consente di imporre vincoli sulle risorse di Azure per garantire la conformità alle regole dei criteri assegnati. Consente agli utenti di eseguire il controllo, l'imposizione in tempo reale e la correzione dell'ambiente Azure. I risultati dei controlli eseguiti dai criteri sono disponibili per gli utenti in un dashboard di conformità, in cui potranno visualizzare un drill-down delle risorse e dei componenti conformi. Per ulteriori informazioni, consulta l'Panoramica del servizio Criteri di Azure.
Scenari di utilizzo di esempio:
- Attualmente non è disponibile una soluzione per eseguire un controllo nell'organizzazione o si eseguono controlli manuali dell'ambiente chiedendo ai singoli team all'interno dell'organizzazione di segnalare la conformità. Si sta cercando un modo per automatizzare questa attività, eseguire controlli in tempo reale e garantire l'accuratezza del controllo.
- Si vogliono applicare i criteri di sicurezza aziendali e impedire agli utenti di creare determinate chiavi crittografiche, ma non si ha un modo automatizzato per bloccare la creazione.
- Si vogliono ridurre alcuni requisiti per i team di test, ma si vogliono mantenere controlli rigorosi nell'ambiente di produzione. È necessario separare l'applicazione delle risorse in modo semplice e automatico.
- Si desidera garantire la possibilità di eseguire il rollback dell'applicazione di nuovi criteri in caso di problemi di un sito live. È necessaria una soluzione con un solo clic per disattivare l'applicazione dei criteri.
- Si fa affidamento su una soluzione di terze parti per il controllo dell'ambiente e si vuole usare un'offerta Microsoft interna.
Tipi di effetti delle politiche e linee guida
Controllo: quando l'effetto di un criterio è impostato su Controllo, il criterio non comporta alcuna modifica sostanziale dell'ambiente. Invia un avviso solo ai componenti, ad esempio le chiavi che non sono conformi alle definizioni dei criteri all'interno di un ambito specificato, contrassegnando questi componenti come non conformi nel dashboard di conformità dei criteri. Il controllo è predefinito se non è selezionato alcun effetto della politica.
Nega: quando l'effetto di un criterio è impostato su nega, il criterio blocca la creazione di nuovi componenti (ad esempio chiavi più deboli) e blocca le nuove versioni delle chiavi esistenti che non sono conformi alla definizione dei criteri. Le risorse non conformi esistenti all'interno di un modulo di protezione hardware gestito non sono interessate e le funzionalità di "controllo" continuano a funzionare.
Le chiavi che usano la crittografia a curva ellittica devono avere i nomi di curva specificati
Se si utilizza la crittografia a curva ellittica o le chiavi ECC, è possibile personalizzare un elenco consentito di nomi di curve da questo elenco. L'opzione predefinita consente tutti i nomi di curva seguenti.
- P-256
- P-256K
- P-384
- P-521
Le chiavi devono avere date di scadenza impostate
Questa politica verifica tutte le chiavi nei Managed HSM e contrassegna le chiavi che non hanno una data di scadenza impostata come non conformi. È anche possibile usare questo criterio per bloccare la creazione di chiavi che non hanno una data di scadenza impostata.
Le chiavi devono avere più del numero specificato di giorni prima della scadenza
Se una chiave è troppo vicina alla scadenza, un ritardo dell'organizzazione nel ruotarla può generare un'interruzione. Le chiavi devono essere ruotate in un numero specificato di giorni prima della scadenza per fornire tempo sufficiente per reagire a un errore. Questo criterio controlla le chiavi troppo vicine alla data di scadenza e consente di impostare questa soglia in giorni. È anche possibile usare questo criterio per impedire la creazione di nuove chiavi troppo vicine alla data di scadenza.
Le chiavi che usano la crittografia RSA devono avere una dimensione minima della chiave specificata
L'uso di chiavi RSA con dimensioni di chiave inferiori non è una procedura di progettazione sicura. L'utente può essere soggetto a standard di controllo e certificazione che impongono l'uso di una dimensione minima delle chiavi. Il seguente criterio consente di impostare un requisito di dimensione minima della chiave nel HSM gestito. È possibile controllare le chiavi che non soddisfano questo requisito minimo. Questo criterio può essere usato anche per bloccare la creazione di nuove chiavi che non soddisfano il requisito di dimensione minima della chiave.
Abilitazione e gestione di un criterio di HSM gestito tramite Azure CLI
Concedere l'autorizzazione per l'analisi giornaliera
Per verificare la conformità delle chiavi di inventario del pool, il cliente deve assegnare il ruolo "Controllore di crittografia HSM gestito" al "Servizio di governance delle chiavi del modulo di protezione hardware gestito di Azure Key Vault" (ID app: a1b76039-a76c-499f-a2dd-846b4cc32627) in modo da poter accedere ai metadati della chiave. Senza la concessione dell'autorizzazione, le chiavi di inventario non verranno segnalate nel report di conformità di Criteri di Azure, solo le nuove chiavi, le chiavi aggiornate, le chiavi importate e le chiavi ruotate vengono controllate sulla conformità. A tale scopo, un utente che ha il ruolo di "Amministratore del modulo di protezione hardware gestito" nel modulo di protezione hardware gestito deve eseguire i comandi seguenti dell'interfaccia della riga di comando di Azure:
Nelle finestre:
az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id
Copiare il id file stampato e incollarlo nel comando seguente:
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>
In Linux o nel sottosistema Windows di Linux:
spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>
Creare assegnazioni di criteri: definire regole di controllo e/o negazione
Le assegnazioni di criteri hanno valori concreti definiti per i parametri delle definizioni dei criteri. Nel portale di Azure passare a "Criteri", filtrare nella categoria "Key Vault" e trovare queste quattro definizioni di criteri di governance delle chiavi di anteprima. Selezionare uno, quindi selezionare il pulsante "Assegna" in alto. Compila ogni campo. Se l'assegnazione dei criteri è relativa ai rifiuti delle richieste, usare un nome chiaro riguardo al criterio perché, quando una richiesta viene rifiutata, il nome dell'assegnazione dei criteri viene mostrato nell'errore. Selezionare Avanti, deselezionare "Mostra solo i parametri che richiedono input o revisione" e immettere i valori per i parametri della definizione dei criteri. Ignorare "Correzione" e creare l'assegnazione. Il servizio richiede fino a 30 minuti per applicare le assegnazioni "Nega".
- Le chiavi del modulo di protezione hardware gestito di Azure Key Vault devono avere una data di scadenza
- Le chiavi HSM gestito di Azure Key Vault che usano la crittografia RSA devono avere una dimensione minima della chiave specificata
- Le chiavi dell'HSM gestito di Azure Key Vault devono avere una durata superiore al numero di giorni specificato prima della scadenza.
- Le chiavi del modulo di protezione hardware gestito di Azure Key Vault che usano la crittografia a curva ellittica devono avere i nomi di curva specificati
È anche possibile eseguire questa operazione usando l'interfaccia della riga di comando di Azure. Vedere Creare un'assegnazione di criteri per identificare le risorse non conformi con l'interfaccia della riga di comando di Azure.
Annotazioni
HSM gestito di Azure non supporta l'assegnazione di criteri a livello di gruppo di gestione. Assegnare criteri a livello di abbonamento.
Testare la configurazione
Provare ad aggiornare/creare una chiave che viola la regola. Se si ha un'assegnazione di criteri con effetto "Nega", restituisce un errore 403 alla richiesta. Esaminare il risultato dell'analisi delle chiavi di inventario delle assegnazioni dei criteri di controllo. Dopo 12 ore, controllare il menu Conformità dei criteri, filtrare nella categoria "Key Vault" e trovare le assegnazioni. Selezionare ognuna di esse per controllare il report dei risultati di conformità.
Risoluzione dei problemi
Se non sono presenti risultati di conformità di un pool dopo un giorno, verificare se l'assegnazione del ruolo del passaggio 2 ha avuto esito positivo. Senza il passaggio 2, il servizio di governance delle chiavi non è in grado di accedere ai metadati della chiave. Il comando Azure CLI az keyvault role assignment list può verificare se il ruolo è assegnato. Controllare anche a quale livello è stata assegnata la politica. Il Managed HSM non supporta l'assegnazione di criteri a livello di gruppo gestionale.
Passaggi successivi
- Registrazione e domande frequenti sui criteri di Azure per l'insieme di credenziali delle chiavi
- Altre informazioni sul servizio Criteri di Azure
- Vedere Esempi di Key Vault: definizioni di criteri predefiniti di Key Vault
- Informazioni su Microsoft Cloud Security Benchmark in Key Vault