סקירה כללית של אמצעי בקרה של מדיניות

הגדרות המדיניות אוכפות תקנים להפעלה של רשות האישורים (CA) ולאישורים שהרשות מנפיקה. אמצעי הבקרה של המדיניות הם הכללים וההגבלות שאתם מגדירים כדי לקבוע איך רשות האישורים (CA) תנפיק אישורים, אילו פרמטרים יכולים להיכלל בבקשה ואילו ערכים יתקבלו. ב-Certificate Authority Service, יש שני סוגים של אמצעי בקרה למדיניות:

• מדיניות גסה כמו מדיניות הנפקת אישורים: מדיניות הנפקת אישורים חלה על כל מאגר ה-CA ומגדירה אילוצים ברמה גבוהה, כמו סוגי מפתחות מותרים, תוקף מותר של אישורים ואילוצים של בעלים (subject) ושם חלופי של בעלים (subject) (SAN).

• מדיניות מפורטת כמו תבניות אישורים: תבניות אישורים מאפשרות להגדיר אילו סוגי אישורים אפשר להנפיק ומי מורשה להנפיק אותם, וכך למנוע שימוש לרעה ולשמור על האבטחה. תבניות של אישורים מאפשרות שליטה מפורטת יותר, כי אפשר להגדיר סוגים שונים של אישורים למטרות שונות. לדוגמה, אתם יכולים ליצור תבניות של אישורים לתרחישי שימוש ספציפיים, כמו אישורי TLS לשרתי אינטרנט ואישורי חתימת קוד למפתחים. אפשר גם ליצור תבניות למחלקות או לצוותים שונים, כדי לאפשר לכל צוות לבקש אישורים עם ההרשאות הספציפיות שהוא צריך.

בנוסף למדיניות הנפקת האישורים ולתבניות האישורים, אפשר גם לאכוף אמצעי בקרה ספציפיים של מדיניות, כמו הגבלות על שמות, כדי למנוע מ-CA להנפיק אישורים לדומיינים או לישויות לא מורשים.

מידע על מדיניות הנפקת אישורים

מדיניות הנפקת אישורים מגדירה אמצעי בקרה על כל הנפקת האישורים במאגר של רשות אישורים. מנהל רשויות אישורים יכול לצרף מדיניות הנפקת אישורים למאגר רשויות אישורים כדי להגדיר הגבלות על סוגי האישורים שרשויות האישורים במאגר יכולות להנפיק. כללי המדיניות בנושא הנפקת אישורים עוזרים לכם:

• אפשר להוסיף אילוצים על נושאים מותרים ועל שמות חלופיים של נושאים (SAN) שאפשר לבקש. האימות הזה מאשר מי או מה יכול להיות מזוהה באישור, למשל רק אישורים לדומיין של החברה.
• הגדרת הגבלות על זהויות של אישורים, משך החיים של אישורים, סוגי מפתחות, משך התוקף של תאריך מוקדם ומצבי בקשת אישורים.
• הוספת תוספים ספציפיים של X.509 לכל האישורים שהונפקו.

מומלץ להשתמש במדיניות הנפקת אישורים אם אחד מהתרחישים הבאים או שניהם רלוונטיים לכם:

1. מאגר רשויות האישורים נועד להנפיק אישורים בהתאם לפרופיל מוגדר היטב. לדוגמה, יש לכם מאגר CA ייעודי שמנפיק אישורים רק לשרתי האינטרנט הפנימיים של החברה. לכל האישורים האלה צריך להיות אותו פרמטר בסיסי.

   • בנושא של כל האישורים שהונפקו מופיע O=My organization.
   • כל שמות ה-DNS מסתיימים ב-.cymbalgroup.com.
   • הם תקפים למשך שנה.

   מדיניות הנפקת אישורים אוכפת את הכללים האלה ומבטיחה שכל אישור שמונפק ממאגר ה-CA הזה תואם לפרופיל.

2. אתם רוצים להגדיר פרופיל בסיסי משותף לתוספים מסוג X.509 ומגבלות נוספות שחלות על כל פרופילי הנפקת האישורים. לדוגמה, יש לכם סוגים שונים של אישורים, כמו אישורי חתימה על אימייל של עובדים (תקפים למשך שנתיים) ואישורי TLS לאתרים שפתוחים לציבור (תקפים למשך שנה). אפשר להגדיר מדיניות בסיסית להנפקת אישורים שתחול על כל האישורים:

   • כל האישורים צריכים לכלול את שם החברה בנושא.
   • כולם חייבים להשתמש בקבוצה ספציפית של תוספי X.509 כדי לעמוד בתקני האבטחה של הארגון.

   לאחר מכן, תוכלו להשתמש בתבניות אישורים כדי להגדיר את הווריאציות הספציפיות לכל סוג אישור על בסיס קו הבסיס הזה.

מידע על הוספת מדיניות הנפקת אישורים זמין במאמר הוספת מדיניות הנפקת אישורים למאגר CA.

מידע על תבניות אישורים

תבנית אישור מייצגת סכימה יחסית סטטית ומוגדרת היטב להנפקת אישורים בארגון. שימוש בתבניות אישורים מאפשר לאישורים שהונפקו ממאגרי CA שונים להיות באותו פורמט ועם אותן תכונות, ללא קשר לרשות האישורים שהנפיקה אותם. משאב CertificateTemplate כולל את הפריטים הבאים:

• ביטוי Common Expression Language ‏ (CEL) שמוערך ביחס לנושא ול-SANs המבוקשים בכל בקשות האישורים שמשתמשות בתבנית. מידע נוסף על השימוש ב-CEL זמין במאמר שימוש ב-CEL.
• רשימת היתרים שמציינת אם אפשר להעתיק את הבעלים (subject) או את השם החלופי של בעלים (subject) מהבקשה של משתמש הקצה אל האישור שהונפק.
• רשימת היתרים אופציונלית שמציינת אילו תוספים מסוג X.509, אם יש כאלה, אפשר להעתיק מהבקשה של משתמש הקצה לאישור שהונפק.
• קבוצה אופציונלית של ערכי תוספים X.509 שמתווספים לכל האישורים שהונפקו באמצעות התבנית.

תבנית אישור יכולה להפוך למסגרת מלאה להנפקת אישורים אנכיים. פרטים נוספים זמינים בהגדרה המלאה של ההודעה CertificateTemplate.

אפשר להשתמש בתבנית אישור כשמדובר בתרחיש מוגדר היטב של הנפקת אישור. אתם יכולים להשתמש בתבניות אישורים כדי לשמור על עקביות בין האישורים שהונפקו ממאגרי CA שונים. אפשר גם להשתמש בתבנית אישור כדי להגביל את סוגי האישורים שאנשים שונים יכולים להנפיק.

אפשר גם להשתמש בשילוב של תבניות אישורים וקישורים מותנים של תפקידים בניהול זהויות והרשאות גישה (IAM) כדי להגדיר אילוצים שחלים על בקשות לאישור שמוגשות על ידי חשבונות שירות ספציפיים. לדוגמה, אפשר ליצור תבנית אישור שמאפשרת רק שמות DNS שמסתיימים ב-.altostrat.com. לאחר מכן, תוכלו להוסיף קשירת תפקיד מותנית כדי להעניק לחשבון השירות my-service-account@my-project.iam.gserviceaccount.com הרשאה להשתמש רק בתבנית הזו כשמבקשים אישורים ממאגר ספציפי של רשויות אישורים. ההגבלה הזו מאפשרת לחשבון השירות להנפיק אישורים רק עם הגבלת ה-SAN הספציפית הזו.

במאמר יצירת תבנית אישור מוסבר איך ליצור תבניות אישורים.

מגבלות שם של אישור CA

שירות ה-CA אוכף מגבלות שם באישור CA כפי שמוגדר בקטע Name Constraints במסמך RFC 5280. מגבלות שם מאפשרות לכם לקבוע אילו שמות מותרים או מוחרגים באישורים שהונפקו על ידי רשויות אישורים.

מגבלות שם מיושמות באמצעות התוסף Name Constraints באישורים מסוג X.509. התוסף הזה מאפשר לציין מרחבי שמות מותרים ומוחרגים עבור סוגים שונים של שמות, כמו שמות DNS, כתובות IP, כתובות אימייל וכתובות URL.

לדוגמה, אתם יכולים ליצור רשות אישורים עם אילוצי שם כדי לאכוף את התנאים הבאים:

• אפשר להשתמש רק ב-myownpersonaldomain.com ובתת-הדומיינים שלו כשמות DNS.
• אסור להשתמש ב-examplepetstore.com ובתת-הדומיינים שלו כשמות DNS.

מגבלות שם מוגדרות באישור של רשות האישורים עצמה. המשמעות היא שכל האישורים שהונפקו על ידי רשות האישורים הזו כפופים למגבלות האלה. כש-CA מנפיק אישור, הוא בודק את שם הנושא המבוקש ואת כל השמות החלופיים של הנושא (SAN) מול מגבלות השם המוגדרות. אם שם כלשהו מפר את המגבלות, הנפקת האישור נדחית.

אפשר לציין מגבלות על השם רק בזמן יצירת רשות האישורים.

היתרונות של שימוש באמצעי בקרה על המדיניות

אמצעי הבקרה של המדיניות עוזרים לכם:

• שיפור האבטחה על ידי הגבלת סוגי האישורים שאפשר להנפיק וצמצום הסיכון ליצירה ולשימוש לרעה באישורים לא מורשים.
• עמידה בדרישות הרגולטוריות ובשיטות המומלצות בתחום לניהול אישורים.
• צמצום המאמץ הידני והסיכון לשגיאות. תבניות אישור מקלות על הנפקת אישורים באופן עקבי ויעיל.
• מדיניות מוגדרת בבירור ואמצעי בקרה חזקים מגבירים את האמון באישורים שאתם מנפיקים.

אכיפת אמצעי בקרה של מדיניות

כשמישהו מבקש אישור, שירות CA מעריך את אמצעי הבקרה של המדיניות ברמות הבאות:

1. הרשאות ניהול זהויות והרשאות גישה (IAM): קודם כול, השירות בודק אם למבקש יש את הרשאות ה-IAM הדרושות כדי ליצור אישורים או להשתמש בתבנית האישור שצוינה. כך אפשר לוודא שרק משתמשים מורשים יוכלו לקבל אישורים.

2. מדיניות הנפקת אישורים: השירות מאמת את בקשת האישור בהתאם למדיניות ההנפקה של מאגר רשויות האישורים. כך מוודאים שהבקשה עומדת בדרישות הכלליות לאישורים שהונפקו מרשות האישורים הזו.

3. תבנית אישור: אם נעשה שימוש בתבנית, הבקשה עוברת אימות נוסף בהתאם למגבלות הספציפיות של התבנית. כך אפשר לוודא שהאישור מתאים לשימוש המיועד שלו.

תוספי X.509 ממדיניות הנפקת האישורים של מאגר רשויות האישורים ומתבנית האישור מתווספים לאישור, וחלק מהערכים מושמטים על סמך אותן מדיניות. לפני שחותמים על האישור, מגבלות השם באישורים של רשות האישורים מאומתות מול האישור כדי לוודא שהנושא עומד בדרישות.

קונפליקטים בין מדיניות

כשמשתמשים במנגנוני בקרה שונים של מדיניות במקביל, יכול להיות שיהיה ניגוד בין כללי מדיניות ברמות שונות. לדוגמה, תבנית אישור עשויה לאפשר סוג מפתח (כמו ECDSA) שאסור לפי מדיניות ההנפקה של מאגר רשויות האישורים. או שתבנית האישור ומדיניות ההנפקה יציינו ערכים שונים לאותו תוסף X.509.

מידע על ניהול התנגשויות בין כללים במדיניות של CA Service זמין במאמר מידע על התנגשויות בין כללים במדיניות.

המאמרים הבאים

• איך מטמיעים אמצעי בקרה של מדיניות
• מידע נוסף על שימוש ב-Common Expression Language ‏ (CEL)