Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Azure Key Vault-Schlüssel schützen kryptografische Schlüssel, die für Verschlüsselung, digitale Signaturen und Schlüsselumbruchvorgänge verwendet werden. Dieser Artikel enthält Sicherheitsempfehlungen speziell für die Verwaltung kryptografischer Schlüssel.
Hinweis
Dieser Artikel konzentriert sich auf Sicherheitspraktiken speziell für Key Vault-Schlüssel. Umfassende Richtlinien zur Sicherheit von Key Vault, einschließlich Netzwerksicherheit, Identitäts- und Zugriffsverwaltung und Tresorarchitektur, finden Sie unter "Sichern Ihres Azure Key Vault".
Schlüsseltypen und Schutzebenen
Azure Key Vault unterstützt unterschiedliche Schlüsseltypen mit unterschiedlichen Schutzebenen. Wählen Sie den entsprechenden Schlüsseltyp basierend auf Ihren Sicherheitsanforderungen aus:
Softwaregeschützte Schlüssel (RSA, EC):Schlüssel, die durch FIPS 140-2 Level 1 validierte Software geschützt sind. Geeignet für die meisten Anwendungen, die Verschlüsselungs- und Signaturvorgänge erfordern.
HSM-geschützte Schlüssel (RSA-HSM, EC-HSM): Schlüssel, die durch FIPS 140-2 Level 2 validierte Hardwaresicherheitsmodule (HSMs) geschützt sind. Empfohlen für Szenarien mit hoher Sicherheit, die hardwaregestützten Schlüsselschutz erfordern.
Verwaltete HSM-Schlüssel: Schlüssel in dedizierten, mandantenfähigen HSM-Pools mit FIPS 140-2 Level 3 validierter Hardware. Erforderlich für höchste Sicherheits- und Complianceanforderungen.
Weitere Informationen zu Schlüsseltypen finden Sie unter "Informationen zu Azure Key Vault-Schlüsseln".
Schlüsselverwendung und -operationen
Beschränken Sie schlüsseloperationen auf diejenigen, die für Ihre Anwendung erforderlich sind, um die Angriffsfläche zu minimieren:
- Einschränken von Schlüsselvorgängen: Nur erforderliche Berechtigungen erteilen (verschlüsseln, entschlüsseln, signieren, überprüfen, wrapKey, unwrapKey)
-
Verwenden Sie geeignete Schlüsselgrößen:
- RSA-Schlüssel: Verwenden sie mindestens 2048-Bit, 4096-Bit für Szenarien mit hoher Sicherheit
- EC-Schlüssel: Verwenden von P-256-, P-384- oder P-521-Kurven basierend auf Sicherheitsanforderungen
- Trennen Sie Schlüssel nach Zweck: Verwenden Sie unterschiedliche Schlüssel für Verschlüsselung und Signierungsvorgänge, um auswirkungen zu begrenzen, wenn ein Schlüssel kompromittiert wird.
Weitere Informationen zu Schlüsselvorgängen finden Sie unter Key Operations in Key Vault.
Schlüsseldrehung und Versionsverwaltung
Führen Sie regelmäßige Schlüsseldrehung durch, um die Gefährdung durch kompromittierte Schlüssel zu begrenzen.
- Automatische Schlüsseldrehung aktivieren: Konfigurieren Sie automatische Drehungsrichtlinien, um Schlüssel ohne Anwendungsausfallzeiten zu drehen. Siehe Konfigurieren der Autorotation von Schlüsseln
- Festlegen der Drehfrequenz: Drehen von Verschlüsselungsschlüsseln mindestens jährlich oder häufiger basierend auf Complianceanforderungen
- Verwenden von Schlüsselversionierung: Key Vault versioniert Schlüssel automatisch und ermöglicht eine nahtlose Rotation, ohne vorhandene verschlüsselte Daten zu beeinträchtigen.
- Planen der erneuten Verschlüsselung: Für langfristige Daten implementieren Sie Strategien zum erneuten Verschlüsseln von Daten mit neuen Schlüsselversionen
Weitere Informationen zur Rotation finden Sie unter Configure cryptographic key autorotation in Azure Key Vault.
Schlüsselsicherung und Wiederherstellung
Schutz vor Datenverlust durch Implementierung geeigneter Sicherungs- und Wiederherstellungsverfahren:
- Vorläufiges Löschen aktivieren: Das vorläufige Löschen ermöglicht die Wiederherstellung gelöschter Schlüssel innerhalb eines Aufbewahrungszeitraums (7-90 Tage). Siehe Übersicht über das vorläufige Löschen von Azure Key Vault
- Löschschutz aktivieren: Verhindern des dauerhaften Löschens von Schlüsseln während des Aufbewahrungszeitraums. Siehe Löschschutz
- Sichern Sie wichtige Schlüssel: Exportieren und sichern Sie Sicherungen von Schlüsseln, die unersetzliche Daten schützen. Siehe Azure Key Vault-Sicherung
- Dokumentwiederherstellungsverfahren: Verwalten von Runbooks für wichtige Wiederherstellungsszenarien
Bring Your Own Key (BYOK)
Befolgen Sie beim Importieren Ihrer eigenen Schlüssel in Key Vault bewährte Methoden:
- Sichere Schlüsselgenerierung verwenden: Generieren von Schlüsseln in FIPS 140-2 Level 2 oder höher HSMs
- Schützen Von Schlüsseln während der Übertragung: Verwenden Sie den BYOK-Prozess von Key Vault, um Schlüssel sicher zu übertragen. Siehe Importieren von HSM-geschützten Schlüsseln in Key Vault (BYOK)
- Überprüfen des Schlüsselimports: Überprüfen von Schlüsselattributen und Berechtigungen nach dem Import
- Provenienz der Schlüssel aufrechterhalten: Dokumentieren des Ursprungs und der Übertragungsmethode importierter Schlüssel.
Weitere Informationen zu BYOK finden Sie unter Importieren von HSM-geschützten Schlüsseln für Key Vault.
Schlüsselfreigabe und Nachweis
Für Szenarien, die eine Schlüsselfreigabe für vertrauenswürdige Umgebungen erfordern:
- Verwenden von Schlüsselveröffentlichungsrichtlinien: Konfigurieren von richtlinien für die nachweisbasierte Freigabe, um zu steuern, wann Schlüssel aus Key Vault freigegeben werden können
- Nachweis überprüfen: Stellen Sie sicher, dass anforderungsumgebungen einen gültigen Nachweis bereitstellen, bevor Sie Schlüssel freigeben.
- Audit von Schlüsselfreigaben: Überwachen und protokollieren Sie alle Schlüssel-Freigabevorgänge
Weitere Informationen zur Schlüsselfreigabe finden Sie unter Azure Key Vault Schlüsselfreigabe.
Überwachung und Auditing
Verfolgen Sie die Schlüsselverwendung, um unbefugten Zugriff oder verdächtige Muster zu erkennen:
- Diagnoseprotokollierung aktivieren: Protokollieren sie alle wichtigen Vorgänge für die Sicherheitsanalyse. Siehe Azure Key Vault-Protokollierung
- Überwachen von Schlüsselvorgängen: Nachverfolgen von Verschlüsselungs-, Entschlüsselungs-, Signier- und Überprüfungsvorgängen zum Einrichten von Basisnutzungsmustern
- Einrichten von Warnungen: Konfigurieren von Azure Monitor-Warnungen für:
- Ungewöhnliche Zugriffsmuster
- Fehlgeschlagene Schlüsselvorgänge
- Wichtige Löschungen oder Änderungen
- Schlüssel nähert sich dem Ablaufdatum
Weitere Informationen finden Sie unter Überwachung und Warnungen für Azure Key Vault.
Ablauf von Schlüsseln
Festlegen von Ablaufdatumsangaben für Schlüssel bei Bedarf:
- Ablauf für temporäre Schlüssel festlegen: Schlüssel, die für zeitlich begrenzte Zwecke verwendet werden, sollten Ablaufdaten haben
- Überwachung von Ablaufschlüsseln: Verwenden Sie Ereignis-Raster-Benachrichtigungen, um vor Ablauf der Schlüssel zu warnen. Siehe Azure Key Vault als Ereignisrasterquelle
- Automatisierung der Schlüsselerneuerung: Implementierung von automatisierten Prozessen zum Rotieren von Schlüsseln vor ihrem Ablaufen.
Verwandte Sicherheitsartikel
- Sichern Ihres Azure Key Vault – Umfassender Leitfaden zur Sicherheit von Key Vault
- Sichern Sie Ihre Geheimschlüssel in Azure Key Vault – bewährte Methoden für geheime Schlüssel
- Sichern Ihrer Azure Key Vault-Zertifikate – bewährte Methoden für Zertifikate