Partilhar via

Controle de acesso para HSM gerenciado

O Azure Key Vault Managed HSM é um serviço de nuvem que protege chaves de criptografia. Como esses dados são confidenciais e críticos para seus negócios, você precisa proteger seus módulos de segurança de hardware (HSMs) gerenciados, permitindo que apenas aplicativos e usuários autorizados acessem os dados.

Este artigo fornece uma visão geral do modelo de controle de acesso do HSM gerenciado. Ele explica a autenticação e a autorização e descreve como proteger o acesso aos HSMs gerenciados. Para obter orientações práticas de implementação, consulte Acesso seguro aos HSMs gerenciados.

Observação

O provedor de recursos do Azure Key Vault dá suporte a dois tipos de recursos: cofres e HSMs gerenciados. O controle de acesso descrito neste artigo se aplica somente a HSMs gerenciados. Para saber mais sobre o controlo de acesso aos cofres Key Vault, consulte Conceder acesso a chaves, certificados e segredos do Key Vault com o controlo de acesso baseado em funções do Azure.

Modelo de controlo de acessos

O acesso a um HSM gerenciado é controlado por meio de duas interfaces:

  • Plano de controlo
  • Plano de dados

No plano de controlo, geres o próprio HSM. As operações neste plano incluem a criação e exclusão de HSMs geridos e a recuperação de propriedades de HSMs geridos.

No plano de dados, você trabalha com os dados armazenados em um HSM gerenciado. Ou seja, você trabalha com as chaves de criptografia suportadas por HSM. Você pode adicionar, excluir, modificar e usar chaves para executar operações criptográficas, gerenciar atribuições de função para controlar o acesso às chaves, criar um backup HSM completo, restaurar um backup completo e gerenciar o domínio de segurança a partir da interface do plano de dados.

Para acessar um HSM gerenciado em qualquer plano, todos os chamadores devem ter autenticação e autorização adequadas. A autenticação estabelece a identidade do chamador. A autorização determina quais operações o chamador pode executar. Um chamador pode ser qualquer uma das entidades de segurança definidas no Microsoft Entra ID: utilizador, grupo, entidade de serviço ou identidade gerida.

Ambos os planos usam o Microsoft Entra ID para autenticação. Para a autorização, utilizam diferentes sistemas:

  • O plano de controlo utiliza o controlo de acesso baseado em funções do Azure (Azure RBAC), um sistema de autorização construído sobre o Azure Resource Manager.
  • O plano de dados usa um RBAC gerenciado no nível HSM (RBAC local do HSM gerenciado), um sistema de autorização implementado e aplicado no nível do HSM gerenciado.

Quando um HSM gerenciado é criado, o solicitante fornece uma lista de administradores de plano de dados (todas as entidades de segurança são suportadas). Somente esses administradores podem acessar o plano de dados HSM gerenciado para executar operações-chave e gerenciar atribuições de função de plano de dados (RBAC local do HSM gerenciado).

Os modelos de permissões para ambos os planos usam a mesma sintaxe, mas são impostos em níveis diferentes e as atribuições de função usam escopos diferentes. O plano de controlo Azure RBAC é aplicado pelo Azure Resource Manager, e o RBAC local do HSM gerido no plano de dados é aplicado pelo próprio HSM gerido.

Importante

Conceder acesso ao plano de controlo a um principal de segurança não concede acesso ao plano de dados principal de segurança. Por exemplo, um principal de segurança com acesso ao plano de controlo não tem automaticamente acesso a chaves ou atribuições de funções no plano de dados. Esse isolamento é por design, para evitar a expansão inadvertida de privilégios que afetam o acesso a chaves armazenadas no HSM gerenciado.

Mas há uma exceção: os membros da função de Administrador Global do Microsoft Entra sempre podem adicionar usuários à função de Administrador de HSM Gerenciado para fins de recuperação, como quando não há mais contas válidas de Administrador de HSM Gerenciado. Para obter mais informações, consulte Práticas recomendadas do Microsoft Entra ID para proteger a função de Administrador Global.

Por exemplo, um administrador de assinatura (porque ele tem permissões de Colaborador para todos os recursos na assinatura) pode excluir um HSM gerenciado em sua assinatura. Mas se eles não tiverem acesso ao plano de dados concedido por meio do RBAC local do HSM gerenciado, eles não poderão obter acesso a chaves ou gerenciar atribuições de função no HSM gerenciado para conceder a si mesmos ou a outros acesso ao plano de dados.

Autenticação do Microsoft Entra

Quando se cria um HSM gerido numa subscrição do Azure, o HSM gerido é automaticamente associado ao inquilino do Microsoft Entra da subscrição. Todos os chamadores em ambos os planos devem ser registrados neste locatário e autenticados para acessar o HSM gerenciado.

O aplicativo é autenticado com o Microsoft Entra ID antes de chamar qualquer plano. O aplicativo pode usar qualquer método de autenticação suportado , dependendo do tipo de aplicativo. O aplicativo adquire um token para um recurso no plano para obter acesso. O recurso é um ponto final no plano de controlo ou plano de dados, dependendo do ambiente Azure. A aplicação usa o token e envia uma solicitação de API REST para o endpoint HSM gerido. Para saber mais, revise todo o fluxo de autenticação.

Usar um único mecanismo de autenticação para ambos os planos tem vários benefícios:

  • As organizações podem controlar centralmente o acesso a todos os HSMs gerenciados em sua organização.
  • Se um usuário sair da organização, ele perderá instantaneamente o acesso a todos os HSMs gerenciados na organização.
  • As organizações podem personalizar a autenticação usando opções no Microsoft Entra ID, como habilitar a autenticação multifator para maior segurança.

Pontos de acesso a recursos

As entidades de segurança acessam os planos por meio de endpoints. Os controles de acesso para os dois planos funcionam de forma independente. Para conceder a um aplicativo acesso para usar chaves em um HSM gerenciado, você concede acesso ao plano de dados usando o RBAC local do HSM gerenciado. Para conceder a um usuário acesso ao recurso HSM gerenciado para criar, ler, excluir, mover os HSMs gerenciados e editar outras propriedades e tags, use o RBAC do Azure.

A tabela seguinte mostra os pontos finais para o plano de controlo e o plano de dados.

Plano de acesso Endereços de acesso Operações Mecanismo de controlo de acessos
Plano de controlo Global:
management.azure.com:443
 Criar, ler, atualizar, excluir e mover HSMs gerenciados

Definir tags HSM gerenciadas		 Azure RBAC
Plano de dados Global:
<hsm-name>.managedhsm.azure.net:443
 Chaves: Desencriptar, encriptar,
desembrulhar, encapsular, verificar, assinar, obter, listar, atualizar, criar, importar, excluir, fazer backup, restaurar, limpar

Gestão de funções do plano de dados (RBAC local do HSM gerido): listar definições de funções, atribuir funções, eliminar atribuições de funções, definir funções personalizadas

Backup e restauração: Faça backup, restaure, verifique o status das operações de backup e restauração

Domínio de segurança: Transferir e carregar o domínio de segurança		 RBAC local de HSM gerenciado

Plano de controlo e Azure RBAC

No plano de controlo, usas o Azure RBAC para autorizar as operações que um chamador pode executar. No modelo RBAC do Azure, cada assinatura do Azure tem uma instância do Microsoft Entra ID. Você concede acesso a usuários, grupos e aplicativos a partir desse diretório. O acesso é concedido para gerenciar recursos de assinatura que usam o modelo de implantação do Azure Resource Manager. Para conceder acesso, use o portal do Azure, a CLI do Azure, o Azure PowerShell ou as APIs REST do Azure Resource Manager.

Você cria um cofre de chaves em um grupo de recursos e gerencia o acesso usando o Microsoft Entra ID. Você concede aos usuários ou grupos a capacidade de gerenciar os cofres de chaves em um grupo de recursos. Você concede o acesso em um nível de escopo específico atribuindo funções apropriadas do Azure. Para conceder acesso a um usuário para gerenciar cofres de chaves, atribua uma função predefinida key vault Contributor ao usuário em um escopo específico. Os seguintes níveis de escopo podem ser atribuídos a uma função do Azure:

  • Grupo de gerenciamento: uma função do Azure atribuída no nível de assinatura se aplica a todas as assinaturas desse grupo de gerenciamento.
  • Assinatura: uma função do Azure atribuída no nível de assinatura se aplica a todos os grupos de recursos e recursos dentro dessa assinatura.
  • Grupo de recursos: uma função do Azure atribuída no nível do grupo de recursos aplica-se a todos os recursos desse grupo de recursos.
  • Recurso específico: uma função do Azure atribuída a um recurso específico aplica-se a esse recurso. Nesse caso, o recurso é um cofre de chaves específico.

Várias funções são predefinidas. Se uma função predefinida não atender às suas necessidades, você pode definir sua própria função. Para obter mais informações, consulte RBAC do Azure: funções integradas.

Plano de dados e RBAC local do HSM gerenciado

Você concede a uma entidade de segurança o acesso para executar operações de chave específicas ao atribuir um papel. Para cada atribuição de função, você deve especificar uma função e um escopo aos quais essa atribuição se aplica. Para o RBAC local do HSM gerenciado, dois escopos estão disponíveis:

  • / ou /keys: escopo de nível HSM. Os principais de segurança aos quais é atribuída uma função neste âmbito podem executar as operações definidas na função para todos os objetos (chaves) no HSM gerido.
  • /keys/<key-name>: Escopo de nível de chave. As entidades de segurança às quais é atribuída uma função neste âmbito podem executar as operações definidas nesta função apenas para todas as versões da chave especificada.

O RBAC local do HSM gerenciado tem várias funções internas para lidar com diferentes cenários de controle de acesso. Para uma lista completa de funções e respetivas permissões, consulte funções integradas de RBAC local do Managed HSM para Managed HSM.

Gerenciamento de identidade privilegiado (PIM) do Microsoft Entra

Para aumentar a segurança das funções administrativas, use o Microsoft Entra Privileged Identity Management (PIM). O PIM permite o acesso just-in-time, reduzindo o risco de privilégios administrativos permanentes. Ele também fornece visibilidade sobre atribuições de função e impõe fluxos de trabalho de aprovação para acesso elevado.

Separação de funções e controlo de acesso

É uma prática recomendada de segurança separar tarefas entre funções de equipe e conceder apenas o acesso mínimo necessário para funções de trabalho específicas. Este princípio ajuda a prevenir o acesso não autorizado e limita o impacto potencial de ações acidentais ou maliciosas.

Ao implementar o controle de acesso para HSM gerenciado, considere estabelecer estas funções funcionais comuns:

  • Equipe de segurança: precisa de permissões para gerenciar o HSM, controlar os ciclos de vida das chaves e definir as configurações de controle de acesso.
  • Desenvolvedores de aplicativos: Precisa de referências a chaves sem exigir acesso direto ao HSM.
  • Serviço/código: Precisa de permissões para executar operações de criptografia específicas, ao mesmo tempo em que está restrito a funções mais amplas de gerenciamento de chaves.
  • Auditores: Precisa de recursos de monitoramento e acesso de log sem permissões para modificar configurações ou chaves do HSM.

Cada uma dessas funções conceituais deve receber apenas as permissões específicas necessárias para desempenhar suas responsabilidades. A implementação da separação de funções requer atribuições de funções tanto no plano de controlo (Azure RBAC) como no plano de dados (RBAC local Managed HSM).

Para obter um tutorial detalhado sobre como implementar a separação de tarefas com exemplos específicos e comandos da CLI do Azure, consulte Acesso seguro aos HSMs gerenciados.

Próximos passos

  • Last updated on