Azure Key Vault’u Azure İlkesiyle tümleştirme

Azure İlkesi, kullanıcılara Azure ortamlarını uygun ölçekte denetleyebilme ve yönetebilme olanağı sunan ve atanan ilke kurallarıyla uyumlu olduklarından emin olmak için Azure kaynaklarına korumalar yerleştirmelerine olanak tanıyan bir idare aracıdır. Kullanıcıların Azure ortamlarında denetim, gerçek zamanlı zorlama ve düzeltme gerçekleştirmesine olanak tanır. İlke tarafından gerçekleştirilen denetimlerin sonuçları, kullanıcıların uyumluluk panosunda hangi kaynakların ve bileşenlerin uyumlu olduğunu ve hangilerinin uyumlu olmadığını görmelerini sağladıkları bir uyumluluk panosunda kullanılabilir. Daha fazla bilgi için bkz. Azure İlkesi hizmetine genel bakış.

Örnek Kullanım Senaryoları:

• Şirketinizin anahtar kasalarındaki sertifikaların minimum anahtar boyutları ve maksimum geçerlilik süreleri ile ilgili gereksinimleri uygulayarak şirketinizin güvenlik duruşunu geliştirmek istiyorsunuz, ancak hangi ekiplerin uyumlu olacağını ve hangilerinin uyumlu olmadığını bilmiyorsunuz.
• Şu anda kuruluşunuz genelinde denetim gerçekleştirmek için bir çözümünüz yok veya kuruluşunuzdaki tek tek ekiplerden uyumluluklarını bildirmelerini isteyerek ortamınızda el ile denetimler gerçekleştiriyorsunuz. Bu görevi otomatikleştirmenin, denetimleri gerçek zamanlı olarak gerçekleştirmenin ve denetimin doğruluğunu garanti etmenin bir yolunu arıyorsunuz.
• Şirket güvenlik ilkelerinizi zorunlu kılmak ve kişilerin otomatik olarak imzalanan sertifikalar oluşturmasını durdurmak istiyorsunuz, ancak bunların oluşturulmasını engellemek için otomatik bir yolunuz yok.
• Test ekipleriniz için bazı gereksinimleri gevşetmek, ancak üretim ortamınız üzerinde sıkı denetimler sağlamak istiyorsunuz. Kaynaklarınızın uygulanmasını ayırmak için basit bir otomatik yönteme ihtiyacınız vardır.
• Canlı site sorunu olması durumunda yeni ilkelerin uygulanmasını geri almayı unutmayın. İlkenin uygulanmasını kapatmak için tek tıklamayla bir çözüme ihtiyacınız vardır.
• Ortamınızı denetlemek için üçüncü taraf bir çözüm kullanıyorsunuz ve bir iç Microsoft teklifi kullanmak istiyorsunuz.

İlke etkisi ve kılavuzu türleri

İlkeyi zorunlu tutmanın sonucunda elde edilen değerlendirme üzerindeki etkisini belirleyebilirsiniz. Her ilke tanımı, birden çok efekt arasından seçim yapmanızı sağlar. Bu nedenle, ilke zorlama, değerlendirdiğiniz işlemin türüne bağlı olarak farklı davranabilir. Genel olarak, Key Vault ile tümleşen ilkelerin etkileri şunlardır:

• Denetim: bir ilkenin etkisi olarak Auditayarlandığında, ilke ortamınızda hataya neden olan değişikliklere neden olmaz. Bu bileşenler yalnızca ilke uyumluluk panosunda uyumsuz olarak işaretlenerek, belirli bir kapsamdaki ilke tanımlarıyla uyumlu olmayan sertifikalar gibi bileşenler konusunda sizi uyarır. İlke etkisi seçilmezse denetim varsayılandır.

• Reddet: bir ilkenin etkisi olarak Denyayarlandığında, ilke yeni bileşenlerin (sertifikalar gibi) oluşturulmasını engeller ve ilke tanımıyla uyumlu olmayan mevcut bileşenlerin yeni sürümlerini engeller. Bir anahtar kasası içindeki mevcut uyumsuz kaynaklar etkilenmez. 'Denetim' özellikleri çalışmaya devam eder.

• Devre dışı: bir ilkenin etkisi olarak Disabledayarlandığında, ilke yine de değerlendirilir, ancak zorlama geçerli olmaz, bu nedenle etkin koşul Disabled için uyumlu olur. Bu, ilkeyi tüm koşulların aksine belirli bir koşul için devre dışı bırakmak için yararlıdır.

• Değiştir: bir ilkenin etkisi olarak Modifyayarlandığında, etiketi ağa ekleme gibi kaynak etiketlerinin eklenmesini Deny gerçekleştirebilirsiniz. Bu, Azure Key Vault tarafından yönetilen HSM için genel ağa erişimi devre dışı bırakmak için kullanışlıdır. Etkiyi kullanmak Modify için parametresi aracılığıyla roleDefinitionIds ilke tanımı için bir yönetim kimliği yapılandırmak gerekir.

• DeployIfNotExists: bir ilkenin etkisi olarak DeployIfNotExistsayarlandığında, koşul karşılandığında bir dağıtım şablonu yürütülür. Bu, Key Vault'un log analytics çalışma alanını tanılama ayarlarını yapılandırmak için kullanılabilir. Etkiyi kullanmak DeployIfNotExists için parametresi aracılığıyla roleDefinitionIds ilke tanımı için bir yönetim kimliği yapılandırmak gerekir.

• AuditIfNotExists: bir ilkenin etkisi olarak AuditIfNotExistsayarlandığında, ilke koşulunun ayrıntılarında belirtilen özelliklerden yoksun kaynakları tanımlayabilirsiniz. Bu, kaynak günlükleri etkin olmayan anahtar kasalarını tanımlamak için kullanışlıdır. Etkiyi kullanmak DeployIfNotExists için parametresi aracılığıyla roleDefinitionIds ilke tanımı için bir yönetim kimliği yapılandırmak gerekir.

Kullanılabilir Yerleşik İlke Tanımları

'Yerleşik' olarak adlandırılan önceden belirlenmiş ilkeler, en iyi güvenlik uygulamalarıyla ilişkili yaygın olarak kullanılan kuralları zorunlu kılmak için JSON biçiminde özel ilkeler yazmanız gerekmeyecek şekilde anahtar kasalarınız üzerinde idareyi kolaylaştırır. Yerleşikler önceden belirlenmiş olsa da, bazı ilkeler parametreleri tanımlamanızı gerektirir. Örneğin, ilkenin etkisini tanımlayarak, kesintileri önlemek için bir reddetme işlemi uygulamadan önce anahtar kasasını ve nesnelerini denetleyebilirsiniz. Azure Key Vault için geçerli yerleşik öğeler dört ana grupta kategorilere ayrılmıştır: anahtar kasası, sertifikalar, anahtarlar ve gizli dizi yönetimi. Her kategoride ilkeler, belirli güvenlik hedeflerini yönlendirmeye yönelik olarak gruplandırılır.

Key Vaults

Erişim Denetimi

Azure İlkesi hizmetini kullanarak, kasalarınız genelinde RBAC izin modeline geçişi yönetebilirsiniz. Kasa erişim ilkesinden Azure rol tabanlı erişim denetimi izin modeline geçiş sayfasında daha fazla bilgi edinin

Ağ Erişimi

Genel ağ erişimini kısıtlayarak, Azure Özel Bağlantı bağlantılarını etkinleştirerek, özel uç nokta için DNS çözümlemesini geçersiz kılmak için özel DNS bölgeleri oluşturarak ve anahtar kasasına varsayılan olarak herhangi bir genel IP'de erişilmeyecek şekilde güvenlik duvarı korumasını etkinleştirerek veri sızıntısı riskini azaltın.

Silme Koruması

Geçici silme ve temizleme korumasını etkinleştirerek anahtar kasanızın ve nesnelerinin kalıcı veri kaybını önleyin. Geçici silme, yapılandırılabilir bir saklama süresi için yanlışlıkla silinen bir anahtar kasasını kurtarmanıza olanak tanırken, temizleme koruması geçici olarak silinen anahtar kasaları için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Temizleme koruması yalnızca geçici silme etkinleştirildikten sonra etkinleştirilebilir. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez.

Tanılama

Bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanılacak etkinlik izlerini yeniden oluşturmak için kaynak günlüklerinin etkinleştirilmesini sağlayın.

Sertifikalar

Sertifikaların Yaşam Döngüsü

Algılanmayan saldırıları azaltmak için, devam eden hasarın zaman çerçevesini en aza indirerek ve sertifikanın saldırganlara olan değerini azaltarak kısa süreli sertifikaların kullanımını teşvik edin. Kısa süreli sertifikalar uygulanırken kesintileri önlemek için süre sonu tarihlerini düzenli olarak izlemeleri önerilir, böylece süre sonu öncesinde yeterince döndürülebilirler. Ayrıca, süresi doldukları belirli bir gün içinde olan veya kullanılabilir ömrünün belirli bir yüzdesine ulaşmış sertifikalar için belirtilen yaşam süresi eylemini de denetleyebilirsiniz.

Sertifika Yetkilisi

Azure Key Vault'un tümleşik sertifika yetkililerinden birine (Digicert veya GlobalSign) veya tercihinize bağlı olmayan bir sertifika yetkilisine bağlı olarak sertifikalarınızı vermek için belirli bir sertifika yetkilisinin seçimini denetleyin veya zorunlu tutun. Otomatik olarak imzalanan sertifikaların oluşturulmasını da denetleyebilir veya reddedebilirsiniz.

Sertifika Öznitelikleri

Anahtar kasanızın sertifikalarının türünü RSA, ECC veya HSM destekli olacak şekilde kısıtlayın. Üç nokta eğri şifrelemesi veya ECC sertifikaları kullanıyorsanız P-256, P-256K, P-384 ve P-521 gibi eğri adlarını özelleştirebilir ve seçebilirsiniz. RSA sertifikaları kullanıyorsanız, sertifikalarınız için en düşük anahtar boyutunu 2.048 bit, 3.072 bit veya 4.096 bit olarak seçebilirsiniz.

Anahtarlar

HSM destekli anahtarlar

HSM, anahtarları depolayan bir donanım güvenlik modülüdür. HSM, şifreleme anahtarları için fiziksel bir koruma katmanı sağlar. Şifreleme anahtarı, yazılım anahtarından daha yüksek bir güvenlik düzeyi sağlayan fiziksel bir HSM'den ayrılamaz. Bazı kuruluşların, HSM anahtarlarının kullanımını zorunlu hale getiren uyumluluk gereksinimleri vardır. Bu ilkeyi, Key Vault'unuzda depolanan ve HSM destekli olmayan anahtarları denetlemek için kullanabilirsiniz. HSM destekli olmayan yeni anahtarların oluşturulmasını engellemek için de bu ilkeyi kullanabilirsiniz. Bu ilke, RSA ve ECC de dahil olmak üzere tüm anahtar türleri için geçerlidir.

Anahtarların Yaşam Döngüsü

Yaşam döngüsü yönetimi yerleşikleriyle, son kullanma tarihi olmayan anahtarları işaretleyebilir veya engelleyebilir, anahtar döndürmedeki gecikmeler kesintiye neden olabileceğinde uyarılar alabilir, son kullanma tarihlerine yakın olan yeni anahtarların oluşturulmasını engelleyebilir, anahtar döndürmeyi yönlendirmek için anahtarların yaşam süresini ve etkin durumunu sınırlayabilir ve anahtarların belirtilen sayıda günden uzun süre etkin olmasını önleyebilirsiniz.

Anahtar Öznitelikleri

Key Vault anahtarlarınızın türünü RSA, ECC veya HSM destekli olacak şekilde kısıtlayın. Üç nokta eğri şifrelemesi veya ECC anahtarları kullanıyorsanız P-256, P-256K, P-384 ve P-521 gibi eğri adlarını özelleştirebilir ve seçebilirsiniz. RSA anahtarları kullanıyorsanız, geçerli ve yeni anahtarlar için en düşük anahtar boyutunun 2048 bit, 3072 bit veya 4096 bit olmasını zorunlu kılabilirsiniz. Daha küçük anahtar boyutlarına sahip RSA anahtarlarını kullanmanın güvenli bir tasarım uygulaması olmadığını, bu nedenle en düşük boyut gereksinimini karşılamayen yeni anahtarların oluşturulmasını engellemenin önerildiğini unutmayın.

Gizli Diziler

Gizli Dizilerin Yaşam Döngüsü

Yaşam döngüsü yönetimi yerleşikleriyle, son kullanma tarihi olmayan gizli dizilere bayrak ekleyebilir veya engelleyebilir, gizli dizi döndürmedeki gecikmeler kesintiye neden olabileceğinde uyarılar alabilir, son kullanma tarihlerine yakın olan yeni anahtarların oluşturulmasını engelleyebilir, anahtar döndürmeyi yönlendirmek için anahtarların yaşam süresini ve etkin durumunu sınırlayabilir ve anahtarların belirtilen sayıda günden uzun süre etkin olmasını önleyebilirsiniz.

Gizli Dizi Öznitelikleri

Tüm düz metinler veya kodlanmış dosyalar Azure anahtar kasası gizli dizisi olarak depolanabilir. Ancak, kuruluşunuz parolalar, bağlantı dizesi veya anahtar olarak depolanan sertifikalar için farklı döndürme ilkeleri ve kısıtlamalar ayarlamak isteyebilir. İçerik türü etiketi, kullanıcının gizli dizi değerini okumadan gizli dizi nesnesinde depolananları görmesine yardımcı olabilir. İçerik türü etiket kümesi olmayan gizli dizileri denetleyebilir veya içerik türü etiket kümesi olmayan yeni gizli dizilerin oluşturulmasını engelleyebilirsiniz.

Örnek Senaryo

100 sertifika içeren birden çok ekip tarafından kullanılan bir anahtar kasasını yönetirsiniz ve anahtar kasasındaki sertifikaların hiçbirinin 2 yıldan uzun süre geçerli olmamasını istersiniz.

1. Sertifikalar'ın belirtilen en yüksek geçerlilik süresi ilkesine sahip olması, bir sertifikanın geçerlilik süresi üst sınırının 24 ay olmasını belirtmeniz ve ilkenin etkisini "denetim" olarak ayarlamanız gerekir.
2. Uyumluluk raporunu Azure portalında görüntüleyip 20 sertifikanın uyumlu olmadığını ve 2 yıl boyunca > geçerli olduğunu ve kalan sertifikaların uyumlu olduğunu keşfedeceksiniz.
3. Bu sertifikaların sahipleriyle iletişim kurar ve sertifikaların 2 yıldan uzun süre geçerli olamaz yeni güvenlik gereksinimini iletirsiniz. Bazı ekipler yanıt verir ve sertifikaların 15'i en fazla 2 yıl veya daha kısa bir süreyle yenilenmiştir. Diğer ekipler yanıt vermez ve anahtar kasanızda hala uyumlu olmayan 5 sertifikanız vardır.
4. Atadığınız ilkenin etkisini "reddet" olarak değiştirirsiniz. Uyumlu olmayan 5 sertifika iptal edilmemiştir ve çalışmaya devam eder. Ancak, 2 yıldan uzun bir geçerlilik süresiyle yenilenemezler.

Azure portalı aracılığıyla anahtar kasası ilkesini etkinleştirme ve yönetme

İlke Tanımı Seçin

1. Azure portalında oturum açın.

2. Arama Çubuğu'nda "İlke" araması yapın ve İlkeYi Seçin.

   

3. İlke penceresinde Tanımlar'ı seçin.

   

4. Kategori Filtresi'nde Tümünü Seç'in seçimini kaldırın ve Anahtar Kasası'nı seçin.

   

5. Artık Azure Key Vault için Genel Önizleme'de kullanılabilen tüm ilkeleri görebilmeniz gerekir. Yukarıdaki ilke kılavuzu bölümünü okuduğunuzdan ve anladığınızdan emin olun ve bir kapsama atamak istediğiniz ilkeyi seçin.

   

Kapsama İlke Atama

1. Uygulamak istediğiniz ilkeyi seçin, bu örnekte Sertifika Geçerlilik Süresini Yönet ilkesi gösterilir. Sol üst köşedeki ata düğmesine tıklayın.

   

2. İlkenin uygulanmasını istediğiniz aboneliği seçin. Kapsamı bir abonelik içinde yalnızca tek bir kaynak grubuyla kısıtlamayı seçebilirsiniz. İlkeyi aboneliğin tamamına uygulamak ve bazı kaynak gruplarını dışlamak istiyorsanız, bir dışlama listesi de yapılandırabilirsiniz. İlkenin etkisinin (denetim veya reddetme) gerçekleşmesini istiyorsanız ilke zorlama seçicisini Etkin olarak veya etkiyi (denetim veya reddetme) kapatmak için Devre Dışı olarak ayarlayın.

   

3. İstediğiniz ay cinsinden en yüksek geçerlilik süresini belirtmek için ekranın üst kısmındaki parametreler sekmesine tıklayın. Parametreleri girmeniz gerekiyorsa , 'Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster' seçeneğinin işaretini kaldırabilirsiniz. Yukarıdaki bölümlerde yer alan yönergeleri izleyerek ilkenin etkisi için denetle veya reddet'i seçin. Ardından gözden geçir + oluştur düğmesini seçin.

   

Uyumluluk Sonuçlarını Görüntüle

1. İlke dikey penceresine dönün ve uyumluluk sekmesini seçin. Uyumluluk sonuçlarını görüntülemek istediğiniz ilke atamasına tıklayın.

   

2. Bu sayfadan sonuçları uyumlu veya uyumlu olmayan kasalara göre filtreleyebilirsiniz. Burada, ilke ataması kapsamında uyumlu olmayan anahtar kasalarının listesini görebilirsiniz. Kasadaki bileşenlerden (sertifikalar) herhangi biri uyumlu değilse kasa uyumsuz olarak kabul edilir. Tek bir kasayı seçerek uyumlu olmayan bileşenleri (sertifikaları) görüntüleyebilirsiniz.

3. Kasa içindeki uyumlu olmayan bileşenlerin adını görüntüleme

   

4. Kullanıcıların anahtar kasası içinde kaynak oluşturma yeteneğinin reddedilip reddedilmediğini denetlemeniz gerekiyorsa, istekte bulunan ve isteklerin zaman damgalarıyla reddedilen sertifika işlemlerinin özetini görüntülemek için Bileşen Olayları (önizleme) sekmesine tıklayabilirsiniz.

   

Özellik Sınırlamaları

"Reddet" etkisi olan bir ilkenin atanması, uyumlu olmayan kaynakların oluşturulmasını reddetmeye başlamak için 30 dakika (ortalama durum) ve 1 saat (en kötü durum) kadar sürebilir. Gecikme aşağıdaki senaryoları ifade eder -

1. Yeni bir ilke atanır.
2. Var olan bir ilke ataması değiştirildi.
3. Mevcut ilkelerle bir kapsamda yeni bir KeyVault (kaynak) oluşturulur.

Bir kasadaki mevcut bileşenlerin ilke değerlendirmesi, uyumluluk sonuçlarının portal kullanıcı arabiriminde görüntülenmesi için 1 saat (ortalama durum) ve 2 saat (en kötü durum) kadar sürebilir.

Uyumluluk sonuçları "Başlatılmamış" olarak gösterildiyse bunun nedeni aşağıdaki nedenlerden kaynaklanıyor olabilir:

• İlke değerlemesi henüz tamamlanmadı. En kötü durum senaryosunda ilk değerlendirme gecikmesi 2 saate kadar sürebilir.
• İlke ataması kapsamında anahtar kasası yok.
• İlke ataması kapsamında sertifikaları olan anahtar kasaları yoktur.

Sonraki Adımlar

• Key Vault için Azure ilkesi için günlüğe kaydetme ve sık sorulan sorular
• Azure İlkesi hizmeti hakkında daha fazla bilgi edinin
• Bkz. Key Vault örnekleri: Key Vault yerleşik ilke tanımları
• Key Vault'ta Microsoft bulut güvenliği karşılaştırması hakkında bilgi edinin