Titkosítás és kulcskezelés az Azure-ban
A titkosítás létfontosságú lépés az adatok védelmének, a megfelelőségnek és az adatoknak a Microsoft Azure-ban való biztosítása felé. Emellett számos vállalat egyik legfontosabb biztonsági aggálya. Ez a szakasz a titkosítással és a kulcskezeléssel kapcsolatos tervezési szempontokat és javaslatokat ismerteti.
Kialakítási szempontok
Az Azure Key Vaultra vonatkozó előfizetési és méretezési korlátok beállítása.
A Key Vault tranzakciós korlátokkal rendelkezik a kulcsokra és titkos kódokra vonatkozóan. A tárolónkénti tranzakciók bizonyos ideig történő szabályozásához tekintse meg az Azure korlátait.
A Key Vault biztonsági határt szolgál ki, mivel a kulcsok, titkos kódok és tanúsítványok hozzáférési engedélyei a tároló szintjén vannak. A Key Vault hozzáférési szabályzat-hozzárendelései külön engedélyeket biztosítanak a kulcsokhoz, titkos kulcsokhoz vagy tanúsítványokhoz. Nem támogatják a részletes, objektumszintű engedélyeket, például egy adott kulcs, titkos kulcs vagy tanúsítványkulcs kezelését.
Szükség esetén elkülönítheti az alkalmazásspecifikus és számítási feladatspecifikus titkos kulcsokat és megosztott titkos kulcsokat a hozzáférés szabályozásához.
Optimalizálja a prémium termékváltozatokat, ahol HSM által védett (hardveres biztonsági modul) kulcsokra van szükség.
A mögöttes HSM-k a FIPS 140-2 Level 2 szabványnak megfelelőek. A támogatott forgatókönyvek figyelembe vételével kezelheti az Azure dedikált HSM-et a FIPS 140-2 3. szintű megfelelőségéhez.
Kulcsváltás és titkos kulcs lejáratának kezelése.
A Key Vault-tanúsítványok használatával kezelheti a tanúsítványok beszerzését és aláírását. Riasztások, értesítések és automatikus tanúsítványmegújítások beállítása.
Állítsa be a kulcsokra, tanúsítványokra és titkos kulcsokra vonatkozó vészhelyreállítási követelményeket.
A Key Vault szolgáltatás replikációs és feladatátvételi képességeinek beállítása. Állítsa be a rendelkezésre állást és a redundanciát.
A kulcs, a tanúsítvány és a titkos kód használatának figyelése.
Jogosulatlan hozzáférés észlelése key vault vagy Azure Monitor Log Analytics-munkaterület használatával. További információ: Monitorozás és riasztás az Azure Key Vaulthoz.
A Key Vault példányosításának delegálása és kiemelt hozzáférés. További információ: Azure Key Vault security.
Állítsa be az ügyfél által felügyelt kulcsok natív titkosítási mechanizmusokhoz, például az Azure Storage-titkosításhoz való használatára vonatkozó követelményeket:
- Felhasználó által kezelt kulcsok
- Teljes lemezes titkosítás virtuális gépekhez (virtuális gépekhez)
- Adattovábbítási titkosítás
- Inaktív adatok titkosítása
Tervezési javaslatok
Használjon összevont Azure Key Vault-modellt a tranzakcióméretkorlátok elkerülése érdekében.
Az Azure RBAC az Azure Key Vault adatsíkjának ajánlott engedélyezési rendszere. További információ: Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) és hozzáférési szabályzatok (örökölt).
Az Azure Key Vault kiépítése olyan helyreállítható törlési és törlési szabályzatokkal, amelyek lehetővé teszik a törölt objektumok megőrzési védelmét.
Kövesse a minimális jogosultsági modellt úgy, hogy a kulcsok, titkos kódok és tanúsítványok végleges törlésére vonatkozó engedélyezést speciális egyéni Microsoft Entra-szerepkörökre korlátozza.
Automatizálja a tanúsítványkezelési és -megújítási folyamatot a nyilvános hitelesítésszolgáltatókkal az adminisztráció megkönnyítése érdekében.
Automatikus folyamat létrehozása kulcs- és tanúsítványforgatáshoz.
Engedélyezze a tűzfal és a virtuális hálózati szolgáltatás végpontjait a tárolón a kulcstartóhoz való hozzáférés szabályozásához.
A platform-központi Azure Monitor Log Analytics-munkaterület használatával naplózhatja a kulcsok, tanúsítványok és titkos kódok használatát a Key Vault minden példányán belül.
Delegáljon Key Vault-példányt és kiemelt hozzáférést, és az Azure Policy használatával kényszerítse ki a konzisztens konzisztens konfigurációt.
Alapértelmezés szerint a Microsoft által felügyelt kulcsok az egyszerű titkosítási funkciókhoz, és szükség esetén ügyfél által felügyelt kulcsokat használnak.
Ne használja a Key Vault központi példányait az alkalmazáskulcsokhoz vagy titkos kulcsokhoz.
A környezetek közötti titkos megosztás elkerülése érdekében ne ossza meg a Key Vault-példányokat az alkalmazások között.