مشاركة عبر

تأمين Azure Key Vault

يحمي Azure Key Vault مفاتيح التشفير والشهادات (والمفاتيح الخاصة المقترنة بالشهادات) والأسرار (مثل سلاسل الاتصال وكلمات المرور) في السحابة. ومع ذلك، عند تخزين البيانات الحساسة والهامة للأعمال، يجب عليك اتخاذ خطوات لزيادة أمان خزائنك والبيانات المخزنة فيها إلى أقصى حد.

تنفذ توصيات الأمان الواردة في هذه المقالة مبادئ الثقة المعدومة: "التحقق بشكل صريح" و"استخدام الوصول الأقل امتيازا" و"افتراض الخرق". للحصول على إرشادات شاملة حول الثقة المعدومة، راجع مركز إرشادات الثقة المعدومة.

تقدم هذه المقالة توصيات أمنية للمساعدة في حماية نشر Azure Key Vault الخاص بك.

الأمان الخاص بالخدمة

يتمتع Azure Key Vault باعتبارات أمنية فريدة تتعلق بهندسة الخزنة والاستخدام المناسب للخدمة لتخزين المواد التشفيرية.

بنية خزنة المفاتيح

  • استخدام Key Vault واحد لكل تطبيق ومنطقة وبيئة: إنشاء Key Vaults منفصلة للتطوير وبيئات ما قبل الإنتاج والإنتاج لتقليل تأثير الخروقات.

    تحدد مخازن المفاتيح الحدود الأمنية للبيانات السرية المخزنة. يؤدي تجميع الأسرار في نفس المخزن إلى زيادة نصف قطر الانفجار لحدث أمني لأن الهجمات قد تكون قادرة على الوصول إلى الأسرار عبر المخاوف. لتقليل الوصول عبر المخاوف، ضع في اعتبارك البيانات السرية التي يجب أن يمتلكها تطبيق معين، ثم افصل مخازن المفاتيح بناءً على هذا التحديد. يعتبر فصل مخازن المفاتيح عن طريق التطبيق هو الحد الأكثر تداولاً. ومع ذلك، يمكن أن تكون حدود الأمان أكثر دقة للتطبيقات الكبيرة، على سبيل المثال، لكل مجموعة من الخدمات ذات الصلة.

  • استخدام Key Vault واحد لكل مستأجر في حلول متعددة المستأجرين: بالنسبة لحلول SaaS متعددة المستأجرين، استخدم Key Vault منفصلا لكل مستأجر للحفاظ على عزل البيانات. هذا هو النهج الموصى به لعزل بيانات العملاء وأعباء العمل بأمان. انظر Multitenancy و Azure Key Vault.

تخزين الكائن في Key Vault

  • لا تستخدم Key Vault كمخزن بيانات لتخزين تكوينات العملاء أو تكوينات الخدمة: يجب أن تستخدم الخدمات Azure Storage مع التشفير الثابت أو مدير تكوين Azure. التخزين أكثر أداء لمثل هذه السيناريوهات.

  • لا تخزن الشهادات (العميل أو الخدمة المملوكة) كأسرار: يجب تخزين الشهادات المملوكة للخدمة كشهادات Key Vault وتكوينها للاجتياد التلقائي. لمزيد من المعلومات، راجع Azure key vault: الشهاداتوفهم التشغيل التلقائي في Azure Key Vault.

    • يجب عدم تخزين محتوى العميل (باستثناء الأسرار والشهادات) في Key Vault: Key Vault ليس مخزن بيانات ولا يتم إنشاؤه لتوسيع نطاقه مثل مخزن البيانات. بدلا من ذلك، استخدم مخزن بيانات مناسبا مثل Cosmos DB أو Azure Storage. لدى العملاء خيار BYOK (إحضار مفتاحك الخاص) للتشفير في حالة الراحة. يمكن تخزين هذا المفتاح في Azure Key Vault لتشفير البيانات في Azure Storage.

أمان الشبكة

تقليل التعرض للشبكة أمر بالغ الأهمية لحماية Azure Key Vault من الوصول غير المصرح به. قم بتكوين قيود الشبكة بناء على متطلبات مؤسستك وحالة استخدامها.

يتم سرد ميزات أمان الشبكة هذه من الأكثر تقييدا إلى القدرات الأقل تقييدا. اختر التكوين الذي يناسب حالة استخدام مؤسستك على أفضل نحو.

  • تعطيل الوصول إلى الشبكة العامة واستخدام نقاط النهاية الخاصة فقط: نشر Azure Private Link لإنشاء نقطة وصول خاصة من شبكة ظاهرية إلى Azure Key Vault ومنع التعرض للإنترنت العام. للحصول على خطوات التنفيذ، راجع دمج Key Vault مع Azure Private Link.

  • تمكين جدار حماية Key Vault: تقييد الوصول إلى عناوين IP الثابتة العامة أو شبكاتك الظاهرية. للحصول على التفاصيل الكاملة، راجع أمان شبكة Key Vault: إعدادات جدار الحماية.

    • تتطلب بعض سيناريوهات العملاء خدمات Microsoft موثوقا به لتجاوز جدار الحماية، في مثل هذه الحالات قد يحتاج المخزن إلى تكوين للسماح بخدمات Microsoft الموثوق بها.

  • استخدم محيط أمن الشبكة: حدد حدود عزل الشبكة المنطقية لموارد PaaS (مثل Azure Key Vault، Azure Storage، وSQL Database) التي يتم نشرها خارج محيط الشبكة الافتراضية لمؤسستك و/أو عناوين IP الثابتة العامة. للحصول على التفاصيل الكاملة، راجع أمان الشبكة: محيط أمان الشبكة)

    • "publicNetworkAccess": يتجاوز "SecuredByPerimeter" "السماح خدمات Microsoft الموثوق بها بتجاوز جدار الحماية"، ما يعني أن بعض السيناريوهات التي تتطلب هذه الثقة لن تعمل.

TLS و HTTPS

يدعم Azure Key Vault إصدارات بروتوكول TLS 1.2 و1.3 لضمان التواصل الآمن بين العملاء والخدمة.

  • فرض التحكم في إصدار TLS: واجهة خزنة المفاتيح الأمامية (مستوى البيانات) هي خادم متعدد المستأجرين حيث يمكن لخزائن المفاتيح من عملاء مختلفين مشاركة نفس عنوان IP العام. لتحقيق العزل، يتم التحقق من صحة كل طلب HTTP وتفويضه بشكل مستقل. يسمح بروتوكول HTTPS للعملاء بالمشاركة في التفاوض على TLS، ويمكن للعملاء تطبيق نسخة TLS لضمان أن الاتصال بأكمله يستخدم مستوى الحماية المقابل. انظر تسجيل Key Vault لنماذج استعلامات Kusto لمراقبة إصدارات TLS المستخدمة من قبل العملاء.

إدارة الهوية والوصول

يستخدم Azure Key Vault Microsoft Entra ID للمصادقة. يتم التحكم في الوصول من خلال واجهتين: مستوى التحكم (لإدارة خزنة المفاتيح نفسها) ومستوى البيانات (للعمل مع المفاتيح، الأسرار، والشهادات). للحصول على تفاصيل حول نموذج الوصول ونقاط النهاية، راجع Azure RBAC لعمليات مستوى بيانات Key Vault.

  • تمكين الهويات المدارة: استخدم الهويات المدارة من Azure لجميع اتصالات التطبيقات والخدمات ب Azure Key Vault لإزالة بيانات الاعتماد ذات التعليمات البرمجية المضمنة. تساعد الهويات المدارة في تأمين المصادقة أثناء إزالة الحاجة إلى بيانات اعتماد صريحة. لطرق وسيناريوهات المصادقة، راجع مصادقة Azure Key Vault.

  • استخدام التحكم في الوصول المستند إلى الدور: استخدم التحكم في الوصول استنادا إلى الدور في Azure (RBAC) لإدارة الوصول إلى Azure Key Vault. لمزيد من المعلومات، راجع Azure RBAC لعمليات مستوى بيانات Key Vault.

    مهم

    نموذج صلاحيات RBAC يسمح بتعيين الأدوار على مستوى القبو للوصول المستمر والتخصيصات المؤهلة (JIT) للعمليات المميزة. تعيينات نطاق الكائنات تدعم فقط عمليات القراءة؛ تتطلب العمليات الإدارية مثل التحكم في الوصول إلى الشبكة، والمراقبة، وإدارة الكائنات صلاحيات على مستوى الخزنة. للعزل الآمن بين فرق التطبيقات، استخدم خزنة مفاتيح واحدة لكل تطبيق.

  • تعيين الأدوار المميزة في الوقت المناسب (JIT): استخدم Azure Privileged Identity Management (PIM) لتعيين أدوار Azure RBAC المؤهلة لمسؤولي ومشغلي Key Vault. راجع نظرة عامة على إدارة الهويات المتميزة (PIM) للحصول على التفاصيل.

    • طلب الموافقات لتنشيط الدور المتميز: أضف طبقة إضافية من الأمان لمنع الوصول غير المصرح به عن طريق التأكد من أنه مطلوب موافق واحد على الأقل لتنشيط أدوار JIT. راجع تكوين إعدادات دور Microsoft Entra في إدارة الهويات المتميزة.
    • فرض المصادقة متعددة العوامل لتنشيط الدور: طلب المصادقة متعددة العوامل لتنشيط أدوار JIT للمشغلين والمسؤولين. راجع مصادقة Microsoft Entra متعددة العوامل.

  • تمكين نهج الوصول المشروط ل Microsoft Entra: يدعم Key Vault نهج الوصول المشروط من Microsoft Entra لتطبيق عناصر التحكم في الوصول استنادا إلى شروط مثل موقع المستخدم أو الجهاز. لمزيد من المعلومات، راجع نظرة عامة على الوصول المشروط.

  • تطبيق مبدأ الامتياز الأقل: حدد عدد المستخدمين الذين لديهم أدوار إدارية وتأكد من منح المستخدمين الحد الأدنى من الأذونات المطلوبة لدورهم فقط. راجع تحسين الأمان مع مبدأ الامتياز الأقل

حماية البيانات

يتطلب حماية البيانات المخزنة في Azure Key Vault تمكين الحذف البرمج، وحماية التطهير، وتنفيذ تدوير تلقائي للمواد التشفيرية.

الامتثال والحوكمة

تضمن تدقيقات الامتثال الدورية وسياسات الحوكمة التزام نشر خزنة المفاتيح بمعايير الأمان والمتطلبات التنظيمية.

التسجيل والكشف عن التهديدات

يتيح التسجيل والمراقبة الشاملة اكتشاف الأنشطة المشبوهة والامتثال لمتطلبات التدقيق.

  • تمكين تسجيل التدقيق: يحفظ تسجيل Key Vault معلومات حول العمليات التي يتم إجراؤها على المخزن. للحصول على التفاصيل الكاملة، راجع Azure Key Vault logging.

  • تمكين Microsoft Defender for Key Vault: تمكين Microsoft Defender for Key Vault من مراقبة النشاط المشبوه والتنبيه إليه. للحصول على التفاصيل، راجع مقدمة Microsoft Defender for Key Vault.

  • تمكين تنبيهات السجل لأحداث الأمان: إعداد التنبيهات ليتم إعلامك عند تسجيل الأحداث الهامة، مثل فشل الوصول أو عمليات الحذف السرية. راجع المراقبة والتنبيه ل Azure Key Vault.

  • المراقبة والتنبيه: دمج Key Vault مع Event Grid لتلقي إعلامات حول التغييرات في المفاتيح أو الشهادات أو الأسرار. للحصول على التفاصيل، راجع مراقبة Key Vault باستخدام Azure Event Grid.

النسخ الاحتياطي والاسترداد

تضمن النسخ الاحتياطي المنتظم استمرارية الأعمال وتحمي من فقدان البيانات بسبب الحذف العرضي أو الخبيث.

  • تمكين النسخ الاحتياطي الأصلي ل Azure Key Vault: تكوين واستخدام ميزة النسخ الاحتياطي الأصلي ل Azure Key Vault لإجراء نسخ احتياطي للبيانات السرية والمفاتيح والشهادات، ما يضمن إمكانية الاسترداد. راجع النسخ الاحتياطي ل Azure Key Vault.

  • تأكد من النسخ الاحتياطية للبيانات السرية التي لا يمكن إعادة إنشائها: النسخ الاحتياطي لكائنات Key Vault (مثل مفاتيح التشفير) التي لا يمكن إعادة إنشائها من مصادر أخرى. راجع النسخ الاحتياطي ل Azure Key Vault.

  • اختبار إجراءات النسخ الاحتياطي والاسترداد: للتحقق من فعالية عمليات النسخ الاحتياطي، اختبر بانتظام استعادة أسرار Key Vault والمفاتيح والشهادات. راجع النسخ الاحتياطي ل Azure Key Vault.

للحصول على أفضل الممارسات الأمنية الخاصة بالمفاتيح والأسرار والشهادات، انظر:

الخطوات التالية

  • Last updated on