Šifrování a správa klíčů v Azure
Šifrování je zásadní krok k zajištění ochrany osobních údajů, dodržování předpisů a rezidence dat v Microsoft Azure. Je to také jeden z nejdůležitějších aspektů zabezpečení mnoha podniků. Tato část popisuje aspekty návrhu a doporučení pro správu šifrování a klíčů.
Aspekty návrhu
Nastavte limity předplatného a škálování, které platí pro Azure Key Vault.
Key Vault má limity transakcí pro klíče a tajné kódy. Omezení transakcí na trezor po určitou dobu najdete v tématu Limity Azure.
Key Vault slouží jako hranice zabezpečení, protože přístupová oprávnění ke klíčům, tajným klíčům a certifikátům jsou na úrovni trezoru. Přiřazení zásad přístupu ke službě Key Vault udělují oprávnění samostatně klíčům, tajným klíčům nebo certifikátům. Nepodporují podrobná oprávnění na úrovni objektu, jako je konkrétní klíč, tajný klíč nebo správa klíčů certifikátů.
Izolujte tajné kódy specifické pro aplikaci a sdílené tajné kódy specifické pro úlohy, abyste mohli řídit přístup.
Optimalizujte skladové položky Premium, kde jsou vyžadovány klíče chráněné modulem HARDWAROVÉHO ZABEZPEČENÍ (HSM).
Základní moduly HSM jsou kompatibilní se standardem FIPS 140–2 level 2. Správa vyhrazeného HSM Azure pro dodržování předpisů úrovně 140–2 úrovně 3 v Azure zvažte podporované scénáře.
Správa obměně klíčů a vypršení platnosti tajných kódů
Ke správě zajišťování a podepisování certifikátů použijte certifikáty služby Key Vault. Nastavte upozorňování, oznámení a automatické prodlužování platnosti certifikátů.
Nastavte požadavky na zotavení po havárii pro klíče, certifikáty a tajné kódy.
Nastavte replikaci služby Key Vault a možnosti převzetí služeb při selhání. Nastavte dostupnost a redundanci.
Monitorujte použití klíče, certifikátu a tajného kódu.
Zjištění neoprávněného přístupu pomocí trezoru klíčů nebo pracovního prostoru služby Azure Monitor Log Analytics Další informace najdete v tématu Monitorování a upozorňování pro Azure Key Vault.
Delegování instance služby Key Vault a privilegovaný přístup Další informace najdete v tématu Zabezpečení služby Azure Key Vault.
Nastavte požadavky na používání klíčů spravovaných zákazníkem pro nativní mechanismy šifrování, jako je šifrování Azure Storage:
- Klíče spravované zákazníkem
- Kdo šifrování disků pro virtuální počítače
- Šifrování přenášených dat
- Šifrování neaktivních uložených dat
Doporučení k návrhu
K zabránění limitům škálování transakcí použijte model federované služby Azure Key Vault.
Azure RBAC je doporučený autorizační systém pro rovinu dat služby Azure Key Vault. Další informace najdete v tématu Řízení přístupu na základě role v Azure (Azure RBAC) vs. Zásady přístupu (starší verze).
Zřízení služby Azure Key Vault pomocí zásad obnovitelného odstranění a vymazání, které umožňují ochranu uchovávání informací pro odstraněné objekty.
Postupujte podle modelu s nejnižšími oprávněními tím, že omezíte autorizaci na trvalé odstranění klíčů, tajných kódů a certifikátů na specializované vlastní role Microsoft Entra.
Automatizujte proces správy certifikátů a obnovování s veřejnými certifikačními autoritami, abyste usnadnili správu.
Vytvořte automatizovaný proces pro obměně klíčů a certifikátů.
Povolte v trezoru koncové body služby brány firewall a virtuální sítě, abyste mohli řídit přístup k trezoru klíčů.
Pomocí pracovního prostoru Služby Log Analytics central pro platformu Azure Monitor můžete auditovat použití klíče, certifikátu a tajného kódu v rámci každé instance služby Key Vault.
Delegujte vytváření instancí služby Key Vault a privilegovaný přístup a pomocí služby Azure Policy vynucujte konzistentní konfiguraci vyhovující předpisům.
Výchozí nastavení klíčů spravovaných Microsoftem pro funkci hlavního šifrování a v případě potřeby používejte klíče spravované zákazníkem.
Nepoužívejte centralizované instance služby Key Vault pro klíče aplikací nebo tajné kódy.
Abyste se vyhnuli sdílení tajných kódů mezi prostředími, nesdílejte instance služby Key Vault mezi aplikacemi.