Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A Política do Azure é uma ferramenta de governança que oferece aos usuários a capacidade de auditar e gerenciar seu ambiente do Azure em escala. O Azure Policy permite colocar guarda-corpos nos recursos do Azure para garantir que estão em conformidade com as regras de política atribuídas. Ele permite que os usuários realizem auditoria, imposição em tempo real e correção de seu ambiente do Azure. Os resultados das auditorias realizadas pela política estão disponíveis para os usuários em um painel de conformidade, onde eles poderão ver um detalhamento de quais recursos e componentes estão em conformidade. Para obter mais informações, consulte Visão geral do serviço de Política do Azure.
Exemplos de cenários de uso:
- No momento, você não tem uma solução para realizar uma auditoria em toda a sua organização ou está conduzindo auditorias manuais do seu ambiente solicitando que equipes individuais dentro da sua organização relatem sua conformidade. Você está procurando uma maneira de automatizar essa tarefa, realizar auditorias em tempo real e garantir a precisão da auditoria.
- Você deseja aplicar as políticas de segurança da sua empresa e impedir que indivíduos criem determinadas chaves criptográficas, mas não tem uma maneira automatizada de bloquear sua criação.
- Você deseja relaxar alguns requisitos para suas equipes de teste, mas deseja manter controles rígidos sobre seu ambiente de produção. Você precisa de uma maneira automatizada simples de separar a aplicação de seus recursos.
- Você quer ter certeza de que pode reverter a aplicação de novas políticas se houver um problema no local. Você precisa de uma solução de um clique para desativar a aplicação da política.
- Você está confiando em uma solução de terceiros para auditar seu ambiente e deseja usar uma oferta interna da Microsoft.
Tipos de efeitos políticos e orientações
Auditoria: Quando o efeito de uma política é definido como auditoria, a política não causará alterações significativas no seu ambiente. Ele só alertará você sobre componentes como chaves que não estão em conformidade com as definições de política dentro de um escopo especificado, marcando esses componentes como não compatíveis no painel de conformidade da política. A auditoria será padrão se nenhum efeito de política for selecionado.
Negar: Quando o efeito de uma política é definido como negar, a política bloqueia a criação de novos componentes (como chaves mais fracas) e bloqueia novas versões de chaves existentes que não estão em conformidade com a definição de política. Os recursos não compatíveis existentes em um HSM gerenciado não são afetados e os recursos de "auditoria" continuam a operar.
As chaves que usam criptografia de curva elíptica devem ter os nomes de curva especificados
Se você usar criptografia de curva elíptica ou chaves ECC, poderá personalizar uma lista permitida de nomes de curva nessa lista. A opção padrão permite todos os seguintes nomes de curva.
- P-256
- P-256K
- P-384
- P-521
As chaves devem ter datas de validade definidas
Esta política audita todas as chaves em seus HSMs gerenciados e sinaliza chaves que não têm uma data de expiração definida como não compatível. Você também pode usar essa política para bloquear a criação de chaves que não têm uma data de validade definida.
As chaves devem ter mais do que o número especificado de dias antes da expiração
Se uma chave estiver muito próxima da expiração, um atraso organizacional para girar a chave pode resultar em uma interrupção. As chaves devem ser alternadas em um número especificado de dias antes da expiração para fornecer tempo suficiente para reagir a uma falha. Esta política audita chaves muito próximas da data de expiração e permite que você defina esse limite em dias. Você também pode usar essa política para evitar a criação de novas chaves muito perto da data de validade.
As chaves que usam criptografia RSA devem ter um tamanho de chave mínimo especificado
O uso de chaves RSA com tamanhos de chave menores não é uma prática de design segura. Você pode estar sujeito a padrões de auditoria e certificação que exigem o uso de um tamanho mínimo de chave. A política a seguir permite que você defina um requisito de tamanho mínimo de chave em seu HSM gerenciado. Você pode auditar chaves que não atendem a esse requisito mínimo. Essa política também pode ser usada para bloquear a criação de novas chaves que não atendam ao requisito de tamanho mínimo de chave.
Habilitando e gerenciando uma política de HSM gerenciado por meio da CLI do Azure
Autorizar digitalizações diárias
Para verificar a conformidade das chaves de inventário do pool, o cliente deve atribuir a função "Managed HSM Crypto Auditor" a "Azure Key Vault Managed HSM Key Governance Service" (ID do aplicativo: a1b76039-a76c-499f-a2dd-846b4cc32627) para que possa acessar os metadados da chave. Sem a concessão de permissão, as chaves de inventário não serão relatadas no relatório de conformidade da Política do Azure, apenas novas chaves, chaves atualizadas, chaves importadas e chaves giradas serão verificadas quanto à conformidade. Para fazer isso, um utilizador que tenha a função de "Administrador de HSM Gerido" precisa executar os seguintes comandos da Azure CLI:
Nas janelas:
az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id
Copie o id impresso e cole-o no seguinte comando:
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id "the id printed in previous command" --hsm-name <hsm name>
No subsistema Linux ou Windows do Linux:
spId=$(az ad sp show --id a1b76039-a76c-499f-a2dd-846b4cc32627 --query id|cut -d "\"" -f2)
echo $spId
az keyvault role assignment create --scope / --role "Managed HSM Crypto Auditor" --assignee-object-id $spId --hsm-name <hsm name>
Criar atribuições de política - definir regras de auditoria e/ou negar
As atribuições de políticas têm valores concretos definidos para os parâmetros das definições de políticas. No portal do Azure, vá para "Políticas", filtre pela categoria "Cofre de Chaves" e encontre estas quatro definições de políticas de governança de chave em pré-visualização. Selecione um e, em seguida, selecione o botão "Atribuir" na parte superior. Preencha cada campo. Se a atribuição de política for para recusas de pedidos, use um nome descritivo para a política porque, quando um pedido é negado, o nome da atribuição de política aparece na mensagem de erro. Selecione Avançar, desmarque "Mostrar apenas parâmetros que precisam de entrada ou revisão" e insira valores para parâmetros da definição de política. Pule a "Remediação" e crie a atribuição. O serviço precisa de até 30 minutos para impor as atribuições de "Negar".
- As chaves HSM gerenciadas do Azure Key Vault devem ter uma data de expiração
- As chaves HSM gerenciadas do Azure Key Vault usando criptografia RSA devem ter um tamanho mínimo de chave especificado
- As chaves HSM gerenciadas do Azure Key Vault devem ter mais do que o número especificado de dias antes da expiração
- As chaves HSM gerenciadas do Azure Key Vault usando criptografia de curva elíptica devem ter os nomes de curva especificados
Você também pode fazer essa operação usando a CLI do Azure. Consulte Criar uma atribuição de política para identificar recursos não compatíveis com a CLI do Azure.
Observação
O Azure Managed HSM não dá suporte à atribuição de política de nível de grupo de gerenciamento. Atribua políticas ao nível da subscrição.
Teste a sua configuração
Tenta atualizar/criar uma chave que viole a regra; se tiveres uma atribuição de política com efeito "Negar", a tua solicitação retornará 403. Revise o resultado da análise das chaves de inventário das atribuições de políticas de auditoria. Após 12 horas, verifique o menu Conformidade da política, filtre na categoria "Cofre de chaves" e encontre suas atribuições. Selecione em cada um deles, para verificar o relatório de resultados de conformidade.
Solução de problemas
Se não houver resultados de conformidade de um pool após um dia, verifique se a atribuição de função da Etapa 2 foi bem-sucedida. Sem a Etapa 2, o serviço de governança de chaves não pode acessar os metadados da chave. O comando CLI az keyvault role assignment list do Azure pode verificar se a função está atribuída. Verifique também em que nível a política foi atribuída. O HSM gerenciado não oferece suporte à atribuição de diretiva de nível de grupo de gerenciamento.
Próximas Etapas
- Registo e perguntas frequentes sobre a política do Azure para o cofre de chaves
- Saiba mais sobre o serviço de Política do Azure
- Consulte exemplos de definições de política internas do Key Vault
- Saiba mais sobre o benchmark de segurança na nuvem da Microsoft no Key vault