Geheimniskrämerei in der Azure- Cloud mit dem Azure Key Vault Manuel Meyer Azure Solution Architect, Trivadis AG www.manuelmeyer.net @manumeyer1 

No content

No content

Vulnerabilities „Firewall Konfiguration“ „Betriebssytem- Bugs“ „Faule Sysadmins“ „Web Server Config“ 

Applications 83% Operating Systems13% Hardware 4% VULNERABILITY CLASSIFICATION 

https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ 

2 Probleme: Der User & die IT-Leute 

Der User 

Mein Ansatz (früher) „Gleiches Passwort überall verwenden = NICHT GUT“ 1 Low Security Password: heybuddy24 1 High Security Passwort: htowi_fle98dk$$+djk(43. 

Mein Ansatz (heute) Keepass MFA. 

Mein Ansatz (heute) qhjp7n0Qdnctw87G5cPg Lkjsdk32lkö2dlkj3klj%&/lkjs() slkjsEWeio***djfkl1109823lskjwJ … Ein Ort für meine Passwörter Auto-Complete 439 Einträge. 

www.haveibeenpwned.com Troy Hunt 

No content

Azure Key Vault Übersicht 1. Speichern und schützen von “Geheimnissen” Keys, Secrets, Certificates 2. Geheimnisse anderen Apps und Services “zur Verfügung stellen” 

Basics ▪ Key ▪ Kryptographischer RSA Schlüssel ▪ Kann den Key Vault NIE verlassen! ▪ Apps müssen Ver-/Entschlüsselung und Signierung an den KV delegieren ▪ Secret ▪ Eine Sequenz von Bytes (unter 25kb) ▪ Authorisierte User schreiben secrets in den KV ▪ Authorisierte Apps lessen secrets vom KV ▪ Certificate. 

Basics Management Plane Data Plane “Verwalten von Geheimnissen” “Arbeiten mit Geheimnissen” RBAC KV Access Policy RBAC (Preview) 

Basics ▪ Software Protected Keys ▪ FIPS 140-2 Level 1 ▪ HSM Protected Keys ▪ FIPS 140-2 Level 2 10k Operations = 0.03 EUR Cert Renewal: 2.53 EUR HSM Keys: 0.84 EUR/Mt. pro Key HSM Advanced: 4.22/Mt. pro Key. 

No content

No content

Azure Disk Encryption Encryption at Rest: ▪ SSE with PMK (default): Storage Service Encryption with Platform Managed Key ▪ SSE with CMK: Storage Service encryption with Customer Managed Key ▪ ADE: Azure Disk Encryption (OS Level) ▪ Windows: Bitlocker ▪ Linux: DM-Crypt 

IaaS Disk Encryption 1. VM Stoppen (Deallocated) 2. Im Key Vault Disk Encryption aktivieren 3. Schlüssel erstellen 4. Disk Encryption Set erstellen und im KV berechtigen 5. Disk dem Disk Encryption Set zuweisen. 

No content

No content

Azure Storage Encryption Encryption at Rest: ▪ PMK: Platform Managed Key (default) ▪ CMK: Customer Managed Key (a.k.a. BYOK) ▪ Client-Side Encryption. 

Digital Envelope, CEK, KEK, What??? Source: Nilay Parikh, https://blog.nilayparikh.com/azure/development/best-practices-client-side-encryption-with-azure-storage-services/ 

Demo: Client Side Storage Encryption 1. Storage Account erstellen (erledigt) 2. Applikation schreiben für Blob Upload: (erledigt: ClientSideEncryptionDemo) 3. Applikation im AAD registrieren (erledigt) Erstellt einen Service Principal (objectId, secret) 4. Applikation für die Verwendung des Service Principals konfigurieren (erledigt) 5. Schlüssel im KV erstellen “ClientSideEncryptionKey” 6. Eine KV Access Policy erstellen, damit die App den Schlüssen “ClientSideEncryptionKey” verwenden kann. 7. Applikation ausführen. 

No content

No content

Lets write some code! App 

www.shhgit.com 

Lets write some code! App 

Ziel: Kein Secret in Code/Config ▪ 1. Service Principal verwenden Wir brauchen ObjectId und Secret vom Service Principal im code ▪ 2. Verwenden einer Azure Managed Service Identity (MSI) Der App Service unterstützt die MSI. 

Demo: Kein Secret im Code/Config 1. Secret im Key Vault erstellen 2. AppService: Managed Identity Aktivieren 3. Key Vault: KV Access Policy für MSI erstellen 4. Code zur Abfrage des Secrets schreiben und deployen. 

No content

Zusammenfassung ▪ Der Key Vault speichert: ▪ Keys: Können nie mehr raus aus dem KV ▪ Secrets: Beliebige Zeichenketten ▪ Certificates: Zertifikate ▪ Verwaltung von Geheimnissen via “Management Plane” (Bspw. Azure Portal, abgesichert durch Azure RBAC) ▪ Verwendung der Geheimnisse über die Data Plane (REST API, abgesichert durch Key Vault Access Policies) ▪ Scenarios ▪ Key Vault für IaaS Disk Encryption ▪ Key Vault für Client Side Storage Encryption ▪ Key Vault um Geheimnisse aus dem Code zu entfernen. Mit einer MSI. 

Links ▪ Docs: https://docs.microsoft.com/en-us/azure/key-vault/ ▪ Key Vault Developer Guide: https://docs.microsoft.com/en-us/azure/key- vault/general/developers-guide ▪ Key Vault Diagnostics: https://zimmergren.net/azure-key-vault-diagnostics- who-accessing-your-vault/ 

Thank you! Manuel Meyer www.manuelmeyer.net @manumeyer1 [email protected]