مشاركة عبر

التشفير وإدارة المفاتيح في Azure

  • مقالة

يعد التشفير خطوة حيوية نحو ضمان خصوصية البيانات والامتثال وإقامة البيانات في Microsoft Azure. كما أنه أحد أهم المخاوف الأمنية للعديد من الشركات. يغطي هذا القسم اعتبارات التصميم والتوصيات الخاصة بالتشفير وإدارة المفاتيح.

اعتبارات التصميم

  • تعيين حدود الاشتراك والمقياس كما تنطبق على Azure Key Vault.

    Key Vault حدود المعاملات للمفاتيح والأسرار. لكبح المعاملات لكل مخزن لفترة زمنية معينة، راجع حدود Azure.

    Key Vault يخدم حد أمان لأن أذونات الوصول للمفاتيح والأسرار والشهادات على مستوى المخزن. Key Vault تمنح تعيينات نهج الوصول أذونات بشكل منفصل للمفاتيح أو الأسرار أو الشهادات. لا تدعم الأذونات الدقيقة أو على مستوى العنصر مثل إدارة مفتاح أو سر أو شهادة محددة.

  • اعزل البيانات السرية الخاصة بالتطبيق والبيانات السرية المشتركة، حسب الضرورة، للتحكم في الوصول.

  • تحسين وحدات SKU المتميزة حيث تكون المفاتيح المحمية ب HSM (وحدة أمان الأجهزة) مطلوبة.

    HSMs الأساسية متوافقة مع FIPS 140-2 المستوى 2. إدارة HSM المخصص ل Azure لتوافق FIPS 140-2 المستوى 3 من خلال النظر في السيناريوهات المدعومة.

  • إدارة تدوير المفتاح وانتهاء الصلاحية السري.

  • استخدم شهادات Key Vault لإدارة شراء الشهادات وتوقيعها. تعيين التنبيه والإعلامات وتجديدات الشهادات التلقائية.

  • تعيين متطلبات الإصلاح بعد كارثة للمفاتيح والشهادات والأسرار.

  • تعيين قدرات النسخ المتماثل للخدمة Key Vault وتجاوز الفشل. تعيين التوفر والتكرار.

  • مراقبة استخدام المفتاح والشهادة والبيانات السرية.

    الكشف عن الوصول غير المصرح به باستخدام مخزن مفاتيح أو مساحة عمل Azure Monitor Log Analytics. لمزيد من المعلومات، راجع المراقبة والتنبيه ل Azure Key Vault.

  • تفويض Key Vault إنشاء مثيل والوصول المتميز. لمزيد من المعلومات، راجع نظرة عامة على Azure Key Vault.

  • تعيين متطلبات استخدام المفاتيح التي يديرها العميل لآليات التشفير الأصلية، مثل تشفير تخزين Azure:

توصيات التصميم

  • استخدم نموذج Azure Key Vault الموحد لتجنب حدود مقياس المعاملات.

  • Azure RBAC هو نظام التخويل الموصى به لمستوى بيانات Azure Key Vault. راجع التحكم في الوصول المستند إلى الدور في Azure (Azure RBAC) مقابل نهج الوصول (القديمة) لمزيد من المعلومات.

  • توفير azure Key Vault مع تمكين نهج الحذف والإزالة المبدئية للسماح بحماية الاستبقاء للكائنات المحذوفة.

  • اتبع نموذج أقل امتيازا عن طريق تقييد التخويل لحذف المفاتيح والأسرار والشهادات بشكل دائم إلى أدوار Azure Active Directory المخصصة المتخصصة (Azure AD).

  • أتمتة إدارة الشهادات وعملية التجديد مع المراجع المصدقة العامة لتسهيل الإدارة.

  • إنشاء عملية تلقائية لتناوب المفاتيح والشهادات.

  • تمكين جدار الحماية ونقاط نهاية خدمة الشبكة الظاهرية على المخزن للتحكم في الوصول إلى مخزن المفاتيح.

  • استخدم مساحة عمل Azure Monitor Log Analytics المركزية للنظام الأساسي لتدقيق المفتاح والشهادة والاستخدام السري داخل كل مثيل من Key Vault.

  • تفويض Key Vault إنشاء مثيل والوصول المتميز، واستخدام نهج Azure لفرض تكوين متوافق متناسق.

  • افتراضيا للمفاتيح التي تديرها Microsoft لوظائف التشفير الأساسية، واستخدم المفاتيح التي يديرها العميل عند الحاجة.

  • لا تستخدم مثيلات مركزية من Key Vault لمفاتيح التطبيق أو الأسرار.

  • لتجنب مشاركة البيانات السرية عبر البيئات، لا تشارك مثيلات Key Vault بين التطبيقات.