Chaves geridas pelo cliente (CMKs) para Microsoft Foundry

A encriptação de chave gerida pelo cliente (CMK) no Microsoft Foundry dá-lhe controlo sobre a encriptação dos seus dados. Use CMKs para adicionar uma camada extra de proteção e ajudar a cumprir os requisitos de conformidade com integração com o Azure Key Vault ou o Azure Managed HSM.

A Microsoft Foundry oferece capacidades robustas de encriptação, incluindo a possibilidade de usar CMKs armazenados no Key Vault ou no HSM gerido para ajudar a proteger os seus dados sensíveis. A encriptação CMK aplica-se a dados em repouso armazenados nas contas de armazenamento associadas ao recurso Foundry, incluindo artefactos do projeto, ficheiros carregados e dados de avaliação.

Este artigo explica como configurar a encriptação CMK usando o Key Vault ou o Managed HSM para o seu recurso Foundry.

Benefícios dos CMKs

• A capacidade de usar as suas próprias chaves para encriptar dados em repouso.
• Integração com políticas organizacionais de segurança e conformidade.
• A capacidade de rodar ou revogar chaves para maior controlo sobre o acesso a dados encriptados.

Pré-requisitos

Para configurar um CMK para o Foundry, precisa de:

• Uma subscrição ativa do Azure para criar e gerir recursos do Azure.

• Um cofre de chaves existente ou um HSM gerido para guardar as tuas chaves. Estes requisitos também se aplicam:

  • Implementa o key store e o recurso Foundry na mesma região do Azure.
  • Ative a proteção contra eliminação e purga suave no armazenamento de chaves para ajudar a proteger as chaves geridas pelo cliente contra eliminações acidentais ou maliciosas (exigido pelo Azure).

  Para criar um cofre de chaves, veja Quickstart: Crie um cofre de chaves usando o portal Azure. Para criar um HSM Gerido, consulte Quickstart: Provisionar e ativar um HSM Gerido usando o portal Azure.

• Uma configuração de identidade gerida:

  • Uma identidade gerida pelo sistema está ativada para o seu recurso Foundry.
  • Uma identidade gerida atribuída pelo utilizador. Veja Criar uma identidade gerida atribuída a um utilizador.

• Permissões de repositório de chaves:

  • Para Key Vault com Azure RBAC, atribui o papel de utilizador Key Vault Crypto à identidade gerida.
  • Para o Key Vault com políticas de acesso definidas, conceda permissões específicas de chave à identidade gerida, como unwrapKey e wrapKey.
  • Para HSM Gerido, atribui o papel de Utilizador Cripto de HSM Gerido à identidade gerida no âmbito apropriado. Para mais informações, consulte as funções integradas de RBAC local de HSM Geridos.

• Permissões Azure suficientes:

  • Proprietário ou Administrador de Acesso ao Usuário no cofre de chaves para atribuir funções RBAC. Para o HSM Gerenciado, a função de Administrador de HSM Gerenciado deve ser usada para atribuir funções locais de RBAC.
  • Papel de Contribuinte ou Proprietário no recurso Foundry para configurar as definições de encriptação.

Antes de configurar um CMK, certifique-se de implementar os seus recursos numa região suportada. Para mais informações sobre o suporte regional para as funcionalidades Foundry, consulte Disponibilidade das funcionalidades Foundry pela Microsoft nas regiões de cloud.

Configurações de rede de repositório de chaves

Quando utiliza rede privada com o seu recurso Foundry, o Azure Key Vault fornecido pelo cliente ou o Managed HSM que aloja o CMK suporta as seguintes configurações:

• Ponto de extremidade de ligação privada com "Permitir serviços Microsoft de confiança" ativado: O key store utiliza um ponto de extremidade privado para conectividade e também permite o acesso a partir de serviços Microsoft de confiança. Esta é a configuração recomendada para ambientes que requerem conectividade privada.
• "Permitir serviços Microsoft confiáveis" ativado (sem um endpoint privado): O armazenamento de chaves permite o acesso a partir de serviços Microsoft confiáveis através do endpoint público. Ative esta definição para garantir que o recurso Foundry pode aceder ao armazenamento de chaves para operações de encriptação.

Para configurar o acesso a serviços de confiança, consulte Configure firewalls Azure Key Vault e redes virtuais ou Managed HSM Network Security.

Passos para configurar uma CMK

Passo 1: Criar ou importar uma chave no armazenamento de chaves

Para gerar uma chave no Azure Key Vault:

1. No portal do Azure, vai ao teu cofre de chaves.

2. Em Definições, selecione Teclas.

3. Selecionar + Gerar/Importar.

4. Insira um nome de chave, escolha o tipo de chave (como RSA ou HSM) e configure o tamanho da chave (mínimo de 2048 bits) e os detalhes de expiração.

5. Selecione Criar para guardar a nova chave.

   A nova chave aparece na lista de chaves.

Para gerar uma chave no Azure HSM Gerido, veja Criar uma chave HSM.

Tenha estas considerações em mente:

• Os projetos podem ser atualizados de chaves geridas pela Microsoft para chaves geridas pelo cliente (CMKs), mas não podem ser revertidos.
• Os CMKs do Project só podem ser atualizados para chaves no mesmo armazém de chaves.
• As cargas relacionadas com armazenamento para encriptação CMK continuam durante a retenção por deleção suave.

Para mais informações, consulte Sobre chaves.

Para importar uma chave para o Key Vault:

1. No seu cofre de chaves, acede à secção Chaves.

2. Seleciona + Gerar/Importar e depois escolhe a opção Importar .

3. Carregue o material-chave e forneça os detalhes necessários para a configuração da chave.

4. Siga as instruções para concluir o processo de importação.

Para importar uma chave para o HSM Gerido, consulte Importar chaves protegidas por HSM para o HSM Gerido.

Passo 2: Conceder permissões de armazenamento de chaves a identidades geridas

Configure permissões apropriadas para a identidade gerida atribuída pelo sistema ou pelo utilizador para aceder ao repositório de chaves.

Cofre de Chaves

1. No portal do Azure, vai ao teu cofre de chaves.

2. Selecione Controlo de Acesso (IAM).

3. Selecionar + Adicionar atribuição de funções.

4. Atribua o papel de Key Vault Crypto User à identidade gerida atribuída pelo sistema para o recurso Foundry ou à identidade gerida atribuída pelo utilizador.

   A identidade gerida aparece na lista de atribuição de funções para o cofre de chaves.

HSM gerido

O HSM gerido utiliza um sistema RBAC local separado do Azure RBAC. Atribuir funções utilizando az keyvault role assignment create ou o plano de dados HSM Gerido:

1. Como Administrador de HSM Gerido, atribuir a função Utilizador Cripto de HSM Gerido à identidade gerida atribuída pelo sistema ou pelo utilizador do recurso Foundry. Defina o âmbito da tarefa para o aspeto principal ou para o âmbito adequado ao seu caso.

2. Verifique a atribuição com az keyvault role assignment list.

Para mais informações, consulte Controlo de acesso Managed HSM.

Passo 3: Ativar o CMK no Foundry

Pode ativar CMKs durante a criação de um recurso Foundry ou atualizando um recurso existente. Durante a criação de recursos, o assistente orienta-o a usar uma identidade gerida atribuída pelo utilizador ou pelo sistema. Também te orienta a selecionar um cofre de chaves ou HSM gerido onde a tua chave está armazenada.

Se estiver a atualizar um recurso Foundry existente, use estes passos para ativar um CMK:

1. No portal Azure, abra o recurso Foundry.

2. Vai para Gestão de Recursos>Encriptação.

3. Selecione Chaves Geridas pelo Cliente como o tipo de cifragem.

4. Insira o URL do repositório de chaves (URL do cofre de chaves ou URL do HSM Gerido) e o nome da chave.

5. Selecione Guardar.

Para verificar a configuração, vá a Gestão de Recursos>Encriptação e confirme que Chaves Geridas pelo Cliente aparece como o tipo de encriptação ativo, com o seu repositório de chaves e nome da chave mostrados.

Acesso ao cofre: Azure RBAC vs. políticas de acesso ao cofre

O Azure Key Vault suporta dois modelos para gerir permissões de acesso:

• Azure RBAC (recomendado):

  • Proporciona controlo centralizado de acessos utilizando funções Microsoft Entra.
  • Simplifica a gestão de permissões para recursos em todo o Azure.
  • É necessário ter o papel de Utilizador do Key Vault Crypto.

• Políticas de acesso ao cofre:

  • Permitir controlo de acesso granular específico para os recursos do Key Vault.
  • São adequadas para configurações onde são necessárias definições de permissões legadas ou isoladas.

Escolha o modelo que esteja alinhado com os requisitos da sua organização. Para novas implementações, use o Azure RBAC. Use as políticas de acesso ao cofre apenas quando os requisitos organizacionais existentes as exigirem.

O Azure Managed HSM utiliza o seu próprio sistema local RBAC, separado do Azure RBAC. Para HSM Gerido, atribui o papel de Utilizador Cripto de HSM Gerido à identidade gerida. Para mais informações, consulte as funções integradas de RBAC local de HSM Geridos.

Monitorização e rotação das teclas

Para manter a segurança e conformidade ótimas, implemente as seguintes práticas:

• Ativar diagnósticos: Monitorize o uso de chaves e a atividade de acesso ativando o registo de diagnóstico em Azure Monitor ou Log Analytics para o seu cofre de chaves ou HSM Gerido.
• Roda as chaves regularmente: Cria periodicamente uma nova versão da tua chave no teu armazenamento de chaves. Atualize o recurso do Foundry para referenciar a versão mais recente da chave nas definições de encriptação.
• Compreenda o impacto da revogação da chave: Se revogar ou eliminar uma CMK, os dados encriptados com essa chave tornam-se inacessíveis até que a chave seja restaurada. Não elimine o armazenamento de chaves ou a versão da chave sem primeiro verificar que os dados já não são necessários.

Resolução de problemas

Conteúdo relacionado

• Documentação do Azure Key Vault
• Azure Documentação HSM gerida
• GitHub Bicep exemplo: Chaves geridas pelo cliente com identidade atribuída pelo utilizador
• Visão geral das identidades Azure geridas