Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il modulo di protezione hardware gestito di Azure Key Vault è un servizio cloud che consente di proteggere le chiavi di crittografia. Poiché questi dati sono sensibili e critici per l'azienda, è necessario proteggere i moduli di protezione hardware gestiti consentendo solo alle applicazioni autorizzate e agli utenti di accedere ai dati.
Questo articolo offre una panoramica del modello di controllo di accesso del Managed HSM. Verranno illustrate l'autenticazione e l'autorizzazione e sarà descritto come proteggere l'accesso ai moduli di protezione hardware gestiti. Per indicazioni pratiche sull'implementazione, vedere Accesso sicuro ai tuoi moduli HSM gestiti.
Annotazioni
Il provider di risorse di Azure Key Vault supporta due tipi di risorse: vault e HSM gestiti. Il controllo di accesso descritto in questo articolo si applica solo ai moduli di protezione hardware gestiti. Per altre informazioni sul controllo di accesso per gli insiemi di credenziali di Key Vault, vedere Fornire l'accesso a chiavi, certificati e segreti di Key Vault con un controllo degli accessi in base al ruolo di Azure.
Modello di controllo di accesso
L'accesso a un modulo di protezione hardware gestito viene controllato tramite due interfacce:
- Piano di gestione
- Piano dati
Nel piano di gestione si gestisce il modulo di protezione hardware stesso. Le operazioni in questo piano includono la creazione e l'eliminazione di moduli di protezione hardware gestiti e il recupero delle proprietà del modulo di protezione hardware gestito.
Nel piano dati si lavora con i dati archiviati in un modulo di protezione hardware gestito. Ciò significa che si lavora con le chiavi di crittografia supportate dal modulo di protezione hardware. È possibile aggiungere, eliminare, modificare e usare le chiavi per eseguire operazioni di crittografia, gestire le assegnazioni di ruolo per controllare l'accesso alle chiavi, creare un backup completo del modulo di protezione hardware, ripristinare un backup completo e gestire il dominio di sicurezza dall'interfaccia del piano dati.
Per accedere a un modulo di protezione hardware gestito in entrambi i piani, tutti i chiamanti devono disporre dell'autenticazione e dell'autorizzazione appropriati. L'autenticazione stabilisce l'identità del chiamante. L’autorizzazione determina le operazioni che il chiamante può eseguire. Un chiamante può essere uno dei principali di sicurezza definiti in Microsoft Entra ID: utente, gruppo, principale del servizio o identità gestita.
Entrambi i piani usano l'ID Microsoft Entra per l'autenticazione. Per l'autorizzazione, usano sistemi diversi:
- Il piano di gestione usa il controllo degli accessi in base al ruolo di Azure, un sistema di autorizzazione basato su Azure Resource Manager.
- Il piano dati usa un controllo degli accessi in base al ruolo gestito a livello di modulo di protezione hardware gestito (controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito), un sistema di autorizzazione implementato e applicato a livello di modulo di protezione hardware gestito.
Quando viene creato un modulo di protezione hardware gestito, il richiedente fornisce un elenco di amministratori del piano dati (sono supportate tutte le entità di sicurezza ). Solo questi amministratori possono accedere al data plane del modulo HSM gestito per eseguire operazioni chiave e gestire le assegnazioni dei ruoli del data plane (RBAC locale del modulo HSM gestito).
I modelli di autorizzazioni per entrambi i piani usano la stessa sintassi, ma vengono applicati a livelli diversi e le assegnazioni di ruolo usano ambiti diversi. Il controllo degli accessi in base al ruolo di Azure viene applicato da Azure Resource Manager e il controllo degli accessi in base al ruolo locale del modulo di protezione gestito hardware del piano dati viene applicato dal modulo di protezione hardware gestito.
Importante
La concessione dell'accesso del piano di gestione a un'entità di sicurezza non concede all'entità di sicurezza l'accesso al piano dati. Ad esempio, un principale di sicurezza con accesso al piano di gestione non ha automaticamente accesso alle chiavi o alle assegnazioni di ruolo nel piano dati. Questo isolamento è progettato per impedire l'espansione accidentale dei privilegi che influiscono sull'accesso alle chiavi archiviate nel modulo di protezione hardware gestito.
Tuttavia, esiste un'eccezione: i membri del ruolo amministratore globale di Microsoft Entra possono sempre aggiungere utenti al ruolo amministratore del modulo di protezione hardware gestito per scopi di ripristino, ad esempio quando non sono più presenti account di amministratore del modulo di protezione hardware gestiti validi. Per altre informazioni, vedere Procedure consigliate per Microsoft Entra ID per la protezione del ruolo di amministratore globale.
Ad esempio, un amministratore della sottoscrizione (poiché ha le autorizzazioni di Collaboratore per tutte le risorse nella sottoscrizione) può eliminare un HSM gestito nella propria sottoscrizione. Tuttavia, se non hanno l'accesso al piano dati concesso tramite il controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito, non possono ottenere l'accesso alle chiavi o gestire le assegnazioni di ruolo nel modulo di protezione hardware gestito per concedere l'accesso al piano dati a se stessi o ad altri.
Autenticazione di Microsoft Entra
Quando si crea un modulo di protezione hardware gestito in una sottoscrizione di Azure, il modulo di protezione hardware gestito viene associato automaticamente al tenant di Microsoft Entra della sottoscrizione. Tutti i chiamanti in entrambi i livelli devono essere registrati in questo tenant ed eseguire l'autenticazione per accedere all'HSM gestito.
L'applicazione esegue l'autenticazione con Microsoft Entra ID prima di chiamare uno dei due piani. L'applicazione può usare qualsiasi metodo di autenticazione supportato a seconda del tipo di applicazione. L'applicazione acquisisce un token per una risorsa nel piano per ottenere l'accesso. La risorsa è un endpoint nel piano di gestione o nel piano dati, a seconda dell'ambiente di Azure. L'applicazione usa il token e invia una richiesta API REST all'endpoint del modulo di protezione hardware gestito. Per altre informazioni, vedere l'intero flusso di autenticazione.
L'uso di un singolo meccanismo di autenticazione per entrambi i piani offre diversi vantaggi:
- Le organizzazioni possono controllare centralmente l'accesso a tutti i moduli di protezione hardware gestiti nella propria organizzazione.
- Se un utente lascia l'organizzazione, perde immediatamente l'accesso a tutti i moduli di protezione hardware gestiti nell'organizzazione.
- Le organizzazioni possono personalizzare l'autenticazione usando opzioni in Microsoft Entra ID, ad esempio per abilitare l'autenticazione a più fattori per una maggiore sicurezza.
Endpoint delle risorse
Le entità di sicurezza accedono ai piani tramite endpoint. I controlli di accesso per i due piani funzionano in modo indipendente. Per concedere a un'applicazione l'accesso all'uso delle chiavi in un modulo di protezione hardware gestito, si concede l'accesso al piano dati usando il controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito. Per concedere a un utente l'accesso alla risorsa HSM gestito per creare, leggere, eliminare, spostare gli HSM gestiti e modificare altre proprietà e tag, si utilizza Azure RBAC.
La tabella seguente illustra gli endpoint per il piano di gestione e il piano dati.
| Piano di accesso | Accedere agli endpoint | Operazioni | Meccanismo di controllo di accesso |
|---|---|---|---|
| Piano di gestione | Globale:management.azure.com:443 |
Creare, leggere, aggiornare, eliminare e spostare moduli di protezione hardware gestiti Impostare tag HSM gestiti |
Controllo degli accessi in base al ruolo (RBAC) di Azure |
| Piano dati | Globale:<hsm-name>.managedhsm.azure.net:443 |
Chiavi: decrittografare, crittografare, decomprimere, avvolgere, verificare, firmare, ottenere, elencare, aggiornare, creare, importare, eliminare, eseguire il backup, ripristinare, epurare Gestione dei ruoli del piano dati (Controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito): elencare le definizioni dei ruoli, assegnare ruoli, eliminare le assegnazioni di ruolo, definire ruoli personalizzati Backup e ripristino: esegui il backup, ripristina e controlla lo stato delle operazioni di backup e ripristino. Dominio di sicurezza: scaricare e caricare il dominio di sicurezza |
Controllo degli accessi in base al ruolo (RBAC) locale del modulo di protezione hardware gestito |
Piano di gestione e Controllo degli accessi in base al ruolo (RBAC) di Azure
Nel piano di gestione, si utilizza Azure RBAC per autorizzare le operazioni che un utente può eseguire. Nel modello controllo degli accessi in base al ruolo (RBAC) di Azure, ogni sottoscrizione di Azure ha un'istanza di Microsoft Entra ID. È possibile concedere l'accesso a utenti, gruppi e applicazioni da questa directory. L'accesso viene concesso per gestire le risorse di sottoscrizione che usano il modello di distribuzione Azure Resource Manager. Per concedere l'accesso, usare il portale di Azure, l'interfaccia della riga di comando di Azure, Azure PowerShell o le API REST di Azure Resource Manager.
Si crea un archivio di chiavi in un gruppo di risorse e si gestisce l'accesso utilizzando Microsoft Entra ID. Si concede agli utenti o ai gruppi la possibilità di gestire i key vault in un gruppo di risorse. Per concedere l'accesso a un livello di ambito specifico, assegnare i ruoli di Azure appropriati. Per concedere l'accesso a un utente in modo che possa gestire insiemi di credenziali delle chiavi, assegnare all'utente un ruolo key vault Contributor predefinito in un ambito specifico. I livelli di ambito seguenti possono essere assegnati a un ruolo di Azure:
- Gruppo di gestione: un ruolo di Azure assegnato a livello di sottoscrizione si applica a tutte le sottoscrizioni del gruppo di gestione.
- Sottoscrizione: un ruolo di Azure assegnato a livello di sottoscrizione si applica a tutti i gruppi di risorse e le risorse all'interno di tale sottoscrizione.
- Gruppo di risorse: un ruolo di Azure assegnato a livello di gruppo di risorse si applica a tutte le risorse del gruppo di risorse.
- Risorsa specifica: un ruolo di Azure assegnato per una risorsa specifica si applica a tale risorsa. In questo caso, la risorsa è un insieme di credenziali delle chiavi specifico.
Diversi ruoli sono predefiniti. Se un ruolo predefinito non soddisfa le specifiche esigenze, è possibile definire un ruolo personalizzato. Per altre informazioni, vedere Controllo degli accessi in base al ruolo di Azure: ruoli predefiniti.
Piano dati e controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito
Si concede a un'entità di sicurezza l'accesso per eseguire operazioni chiave specifiche assegnando un ruolo. Per ogni assegnazione di ruolo, è necessario specificare un ruolo e un ambito per cui si applica l'assegnazione. Per il controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito, sono disponibili due ambiti:
/o/keys: ambito a livello di modulo di protezione hardware. Le entità di sicurezza assegnate a un ruolo in questo ambito possono eseguire le operazioni definite nel ruolo per tutti gli oggetti (chiavi) nel modulo di protezione hardware gestito./keys/<key-name>: ambito a livello di chiave. Le entità di sicurezza assegnate a un ruolo in questo ambito possono eseguire le operazioni definite in questo ruolo solo per tutte le versioni della chiave specificata.
Il RBAC locale dell'HSM gestito include diversi ruoli predefiniti per affrontare diversi scenari di controllo degli accessi. Per un elenco completo dei ruoli e delle relative autorizzazioni, vedere Ruoli predefiniti locali per il controllo degli accessi in base al ruolo per il modulo di protezione hardware gestito.
Microsoft Entra Privileged Identity Management (PIM)
Per migliorare la sicurezza dei ruoli amministrativi, usare Microsoft Entra Privileged Identity Management (PIM). PIM consente l'accesso just-in-time, riducendo il rischio di privilegi amministrativi permanenti. Offre anche visibilità sulle assegnazioni di ruolo e applica flussi di lavoro di approvazione per l'accesso con privilegi elevati.
Separazione dei compiti e del controllo di accesso
È una procedura consigliata per la sicurezza separare i compiti tra i ruoli del team e concedere solo l'accesso minimo necessario per funzioni di lavoro specifiche. Questo principio consente di impedire l'accesso non autorizzato e limitare il potenziale impatto di azioni accidentali o dannose.
Quando si implementa il controllo di accesso per il modulo di protezione hardware gestito, è consigliabile stabilire questi ruoli funzionali comuni:
- Team di sicurezza: richiede le autorizzazioni per gestire il modulo di protezione hardware, controllare i cicli di vita delle chiavi e configurare le impostazioni di controllo di accesso.
- Sviluppatori di applicazioni: necessitano di riferimenti alle chiavi senza richiedere l'accesso diretto al modulo di sicurezza hardware.
- Servizio/codice: richiede le autorizzazioni per eseguire operazioni di crittografia specifiche, pur essendo limitate da funzioni di gestione delle chiavi più ampie.
- Revisori: richiede funzionalità di monitoraggio e accesso ai log senza autorizzazioni per modificare le impostazioni o le chiavi del modulo di protezione hardware.
A ciascuno di questi ruoli concettuali dovrebbero essere concesse solo le autorizzazioni specifiche necessarie per svolgere le proprie responsabilità. L'implementazione della separazione dei compiti richiede sia il piano di gestione (Azure RBAC - Controllo degli accessi in base al ruolo) sia le assegnazioni di ruolo del piano dati (Managed HSM - Controllo degli accessi in base al ruolo locale).
Per un'esercitazione dettagliata sull'implementazione della separazione dei compiti con esempi specifici e comandi dell'interfaccia della riga di comando di Azure, vedere Proteggere l'accesso ai moduli di protezione hardware gestiti.
Passaggi successivi
- Per un'esercitazione introduttiva per un amministratore, vedere Che cos'è il modulo di protezione hardware gestito?.
- Per i dettagli sulla gestione dei ruoli, vedere Gestione RBAC locale per i moduli di protezione hardware gestiti.
- Per ulteriori informazioni sulla registrazione dell'utilizzo per Managed HSM, vedere Registrazione di Managed HSM.
- Per una guida pratica all'implementazione sul controllo di accesso, consultare Protezione dell'accesso ai moduli di sicurezza hardware gestiti.