Osvědčené postupy pro zabezpečení spravovaného HSM
Tento článek obsahuje osvědčené postupy pro zabezpečení systému správy klíčů SPRAVOVANÉHO HSM ve službě Azure Key Vault. Úplný seznam doporučení zabezpečení najdete ve standardních hodnotách zabezpečení spravovaného HSM Azure.
Řízení přístupu ke spravovanému HSM
Spravovaný HSM je cloudová služba, která chrání kryptografické klíče. Vzhledem k tomu, že tyto klíče jsou citlivé a důležité pro vaši firmu, zajistěte zabezpečení spravovaných hsM tím, že povolíte přístup pouze autorizovanými aplikacemi a uživateli. Řízení přístupu spravovaného HSM poskytuje přehled modelu přístupu. Vysvětluje ověřování, autorizaci a řízení přístupu na základě role (RBAC).
Řízení přístupu ke spravovanému HSM:
- Vytvořte skupinu zabezpečení Microsoft Entra pro Správa istrátory HSM (místo přiřazení role Správa istrator jednotlivcům), aby se zabránilo "uzamčení správy" v případě odstranění jednotlivého účtu.
- Zamkněte přístup ke skupinám pro správu, předplatným, skupinám prostředků a spravovaným hsM. Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete řídit přístup ke skupinám pro správu, předplatným a skupinám prostředků.
- Vytvořte přiřazení rolí podle klíče pomocí místního řízení přístupu na základě role spravovaného HSM.
- Pokud chcete zachovat oddělení povinností, vyhněte se přiřazování více rolí stejným objektům zabezpečení.
- K přiřazení rolí použijte princip přístupu s nejnižšími oprávněními.
- Vytvořte vlastní definici role pomocí přesné sady oprávnění.
Vytváření záloh
Ujistěte se, že vytváříte pravidelné zálohy spravovaného HSM.
Zálohy můžete vytvářet na úrovni HSM a pro konkrétní klíče.
Zapněte protokolování.
Zapněte protokolování pro hsm.
Můžete také nastavit upozornění.
Zapněte možnosti obnovení.
Obnovitelné odstranění je ve výchozím nastavení zapnuté. Můžete zvolit dobu uchovávání mezi 7 a 90 dny.
Zapněte ochranu před vymazáním, abyste zabránili okamžitému trvalému odstranění HSM nebo klíčů.
Když je ochrana před vymazáním zapnutá, spravovaný HSM nebo klíče zůstanou ve stavu odstranění, dokud neskončí doba uchovávání.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro