تأمين مفاتيح Azure Key Vault الخاصة بك

تحمي مفاتيح Azure Key Vault المفاتيح التشفيرية المستخدمة في التشفير، والتوقيعات الرقمية، وعمليات تغليف المفاتيح. تقدم هذه المقالة توصيات أمنية خاصة بإدارة المفاتيح التشفيرية.

إشعار

تركز هذه المقالة على ممارسات الأمان الخاصة بمفاتيح Key Vault. للحصول على إرشادات شاملة لأمان خزنة المفاتيح بما في ذلك أمن الشبكة، وإدارة الهوية والوصول، وهندسة الخزنة، راجع تأمين خزنة مفاتيح Azure الخاصة بك.

الأنواع الرئيسية ومستويات الحماية

يدعم Azure Key Vault أنواعا مختلفة من المفاتيح بمستويات حماية متفاوتة. اختر نوع المفتاح المناسب بناء على متطلباتك الأمنية:

• مفاتيح محمية برمجيا (RSA، EC): مفاتيح محمية بواسطة برنامج FIPS 140-2 المستوى 1 المصادق. مناسب لمعظم التطبيقات التي تتطلب عمليات تشفير وتوقيع.

• مفاتيح محمية ب HSM (RSA-HSM، EC-HSM): مفاتيح محمية بواسطة وحدات أمان الأجهزة المعتمدة من المستوى 2 من FIPS 140-2 (HSMs). يوصى به للسيناريوهات عالية الأمان التي تتطلب حماية مفاتيح مدعومة بالأجهزة.

• مفاتيح HSM المدارة: مفاتيح في مجموعات HSM مخصصة لمستأجر واحد مع أجهزة معتمدة من المستوى 3 FIPS 140-2. مطلوب لأعلى متطلبات الأمان والامتثال.

لمزيد من المعلومات حول أنواع المفاتيح، راجع حول مفاتيح Azure Key Vault.

استخدام المفتاح والعمليات

قيد العمليات الرئيسية فقط لتلك المطلوبة لتطبيقك لتقليل سطح الهجوم:

• تحديد عمليات المفتاح: امنح فقط الأذونات اللازمة (تشفير، فك التشفير، توقيع، تحقق، wrapKey، unwrapKey)
• استخدم أحجام المفاتيح المناسبة:
  • مفاتيح RSA: استخدم الحد الأدنى 2048-بت و4096-بت للسيناريوهات عالية الأمان
  • مفاتيح EC: استخدم منحنيات P-256 أو P-384 أو P-521 بناء على متطلبات الأمان
• فصل المفاتيح حسب الغرض: استخدم مفاتيح مختلفة للتشفير مقابل عمليات التوقيع للحد من التأثير إذا تم اختراق مفتاح

لمزيد من المعلومات حول عمليات المفاتيح، راجع عمليات المفتاح في خزنة المفاتيح.

تدوير المفاتيح وترتيب الإصدارات

تنفيذ تدوير المفاتيح بشكل منتظم للحد من التعرض للمفاتيح المكسورة:

• تمكين تدوير المفاتيح التلقائي: قم بتكوين سياسات التدوير التلقائي لتدوير المفاتيح دون توقف التطبيق. انظر تكوين تدوير المفاتيح التلقائي
• اضبط تكرار الدوران: تدوير مفاتيح التشفير على الأقل سنويا، أو بشكل أكثر اعتمادا على متطلبات الامتثال
• استخدم إصدار المفاتيح: يقوم Key Vault تلقائيا بإصدار المفاتيح، مما يسمح بتدوير سلس دون كسر البيانات المشفرة الموجودة
• خطط لإعادة التشفير: بالنسبة للبيانات طويلة الأمد، نفذ استراتيجيات لإعادة تشفير البيانات بإصدارات مفاتيح جديدة

لمزيد من المعلومات حول التدوير، راجع إعداد التدوير التلقائي لمفاتيح التشفير في Azure Key Vault.

النسخ الاحتياطي والاسترداد للمفاتيح

الحماية من فقدان البيانات من خلال تنفيذ إجراءات النسخ الاحتياطي والاسترداد الصحيحة:

• تمكين الحذف الناعم: يسمح الحذف التجريبي باستعادة المفاتيح المحذوفة خلال فترة الاحتفاظ (7-90 يوما). See Azure Key Vault soft-delete overview
• تمكين الحماية من التطهير: منع الحذف الدائم للمفاتيح خلال فترة الاحتفاظ. انظر حماية التطهير
• قم بنسخ احتياطية للمفاتيح الحرجة: تصدير وتخزين النسخ الاحتياطية للمفاتيح التي تحمي البيانات التي لا يمكن استبدالها. See Azure Key Vault backup
• إجراءات استعادة المستندات: الحفاظ على دفاتر التشغيل لسيناريوهات الاسترداد الرئيسية

أحضر مفتاحك الخاص (BYOK)

عند استيراد مفاتيحك الخاصة إلى Key Vault، اتبع أفضل ممارسات الأمان:

• استخدم توليد المفاتيح الآمنة: توليد المفاتيح في أنظمة HSM المستوى 2 من FIPS 140-2 أو أعلى
• حماية المفاتيح أثناء النقل: استخدم عملية BYOK في Key Vault لنقل المفاتيح بأمان. انظر استيراد مفاتيح محمية ب HSM إلى خزنة المفاتيح (BYOK)
• التحقق من استيراد المفتاح: تحقق من خصائص المفاتيح والأذونات بعد الاستيراد
• الحفاظ على مصدر المفتاح: توثيق أصل وطريقة نقل المفاتيح المستوردة

لمزيد من المعلومات حول BYOK، راجع استيراد مفاتيح محمية ب HSM لخزنة المفاتيح.

الإفراج عن المفتاح وتوثيقه

للسيناريوهات التي تتطلب تحرير المفاتيح إلى بيئات موثوقة:

• استخدام سياسات تحرير المفاتيح: قم بتكوين سياسات الإصدار المعتمدة على التصديق للتحكم في متى يمكن تحرير المفاتيح من خزنة المفاتيح
• التحقق من التصديق: تأكد من أن البيئات الطلبة توفر شهادة صالحة قبل إصدار المفاتيح
• تدقيق إصدارات المفاتيح: مراقبة وتسجيل جميع عمليات إصدار المفاتيح

لمزيد من المعلومات حول إصدار المفاتيح، راجع إصدار مفتاح Azure Key Vault.

الرصد والتدقيق

تتبع استخدام المفاتيح لاكتشاف الوصول غير المصرح به أو الأنماط المشبوهة:

• تمكين تسجيل التشخيص: سجل جميع العمليات الرئيسية لتحليل الأمان. انظر Azure Key Vault loging
• مراقبة عمليات المفاتيح: تتبع عمليات التشفير، وفك التشفير، والتوقيع، والتحقق من العمليات لتحديد أنماط الاستخدام الأساسية
• إعداد التنبيهات: تكوين تنبيهات Azure Monitor ل:
  • أنماط وصول غير معتادة إلى المفاتيح
  • عمليات المفاتيح الفاشلة
  • حذف أو تعديلات المفاتيح
  • اقتراب انتهاء صلاحية المفتاح

راجع المراقبة والتنبيه ل Azure Key Vault.

انتهاء صلاحية المفتاح

حدد تواريخ انتهاء صلاحية المفاتيح عند الحاجة:

• حدد انتهاء صلاحية المفاتيح المؤقتة: يجب أن يكون للمفاتيح المستخدمة لأغراض محدودة زمنيا تواريخ انتهاء صلاحية
• مراقبة انتهاء صلاحية المفاتيح: استخدم إشعارات شبكة الأحداث للتنبيه قبل انتهاء صلاحية المفاتيح. See Azure Key Vault كمصدر Event Grid
• أتمتة تجديد المفاتيح: تنفيذ عمليات آلية لتدوير المفاتيح قبل انتهاء الصلاحية

مقالات أمنية ذات صلة

• تأمين خزنة مفاتيح Azure الخاصة بك - إرشادات أمنية شاملة لخزنة المفاتيح
• تأمين أسرار خزنة مفاتيح Azure - أفضل الممارسات الأمنية للأسرار
• تأمين شهادات Azure Key Vault الخاصة بك - أفضل ممارسات الأمان للشهادات

الخطوات التالية

• حول مفاتيح Azure Key Vault
• Configure cryptographic key autorotation في Azure Key Vault
• دليل مطور مخزن Azure Key Vault