Megosztás a következőn keresztül:

Titkosítás és kulcskezelés az Azure-ban

  • Cikk

A titkosítás létfontosságú lépés az adatok védelmének, a megfelelőségnek és az adatoknak a Microsoft Azure-ban való biztosítása felé. Emellett számos vállalat egyik legfontosabb biztonsági aggálya. Ez a szakasz a titkosítással és a kulcskezeléssel kapcsolatos tervezési szempontokat és javaslatokat ismerteti.

Kialakítási szempontok

  • Az Azure Key Vaultra vonatkozó előfizetési és méretezési korlátok beállítása.

    A Key Vault tranzakciós korlátokkal rendelkezik a kulcsokra és titkos kódokra vonatkozóan. A tárolónkénti tranzakciók bizonyos ideig történő szabályozásához tekintse meg az Azure korlátait.

    A Key Vault biztonsági határt szolgál ki, mivel a kulcsok, titkos kódok és tanúsítványok hozzáférési engedélyei a tároló szintjén vannak. A Key Vault hozzáférési szabályzat-hozzárendelései külön engedélyeket biztosítanak a kulcsokhoz, titkos kulcsokhoz vagy tanúsítványokhoz. Nem támogatják a részletes, objektumszintű engedélyeket, például egy adott kulcs, titkos kulcs vagy tanúsítványkulcs kezelését.

  • Szükség esetén elkülönítheti az alkalmazásspecifikus és számítási feladatspecifikus titkos kulcsokat és megosztott titkos kulcsokat a hozzáférés szabályozásához.

  • Optimalizálja a prémium termékváltozatokat, ahol HSM által védett (hardveres biztonsági modul) kulcsokra van szükség.

    A mögöttes HSM-k a FIPS 140-2 Level 2 szabványnak megfelelőek. A támogatott forgatókönyvek figyelembe vételével kezelheti az Azure dedikált HSM-et a FIPS 140-2 3. szintű megfelelőségéhez.

  • Kulcsváltás és titkos kulcs lejáratának kezelése.

  • A Key Vault-tanúsítványok használatával kezelheti a tanúsítványok beszerzését és aláírását. Riasztások, értesítések és automatikus tanúsítványmegújítások beállítása.

  • Állítsa be a kulcsokra, tanúsítványokra és titkos kulcsokra vonatkozó vészhelyreállítási követelményeket.

  • A Key Vault szolgáltatás replikációs és feladatátvételi képességeinek beállítása. Állítsa be a rendelkezésre állást és a redundanciát.

  • A kulcs, a tanúsítvány és a titkos kód használatának figyelése.

    Jogosulatlan hozzáférés észlelése key vault vagy Azure Monitor Log Analytics-munkaterület használatával. További információ: Monitorozás és riasztás az Azure Key Vaulthoz.

  • A Key Vault példányosításának delegálása és kiemelt hozzáférés. További információ: Azure Key Vault security.

  • Állítsa be az ügyfél által felügyelt kulcsok natív titkosítási mechanizmusokhoz, például az Azure Storage-titkosításhoz való használatára vonatkozó követelményeket:

Tervezési javaslatok

  • Használjon összevont Azure Key Vault-modellt a tranzakcióméretkorlátok elkerülése érdekében.

  • Az Azure RBAC az Azure Key Vault adatsíkjának ajánlott engedélyezési rendszere. További információ: Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) és hozzáférési szabályzatok (örökölt).

  • Az Azure Key Vault kiépítése olyan helyreállítható törlési és törlési szabályzatokkal, amelyek lehetővé teszik a törölt objektumok megőrzési védelmét.

  • Kövesse a minimális jogosultsági modellt úgy, hogy a kulcsok, titkos kódok és tanúsítványok végleges törlésére vonatkozó engedélyezést speciális egyéni Microsoft Entra-szerepkörökre korlátozza.

  • Automatizálja a tanúsítványkezelési és -megújítási folyamatot a nyilvános hitelesítésszolgáltatókkal az adminisztráció megkönnyítése érdekében.

  • Automatikus folyamat létrehozása kulcs- és tanúsítványforgatáshoz.

  • Engedélyezze a tűzfal és a virtuális hálózati szolgáltatás végpontjait a tárolón a kulcstartóhoz való hozzáférés szabályozásához.

  • A platform-központi Azure Monitor Log Analytics-munkaterület használatával naplózhatja a kulcsok, tanúsítványok és titkos kódok használatát a Key Vault minden példányán belül.

  • Delegáljon Key Vault-példányt és kiemelt hozzáférést, és az Azure Policy használatával kényszerítse ki a konzisztens konzisztens konfigurációt.

  • Alapértelmezés szerint a Microsoft által felügyelt kulcsok az egyszerű titkosítási funkciókhoz, és szükség esetén ügyfél által felügyelt kulcsokat használnak.

  • Ne használja a Key Vault központi példányait az alkalmazáskulcsokhoz vagy titkos kulcsokhoz.

  • A környezetek közötti titkos megosztás elkerülése érdekében ne ossza meg a Key Vault-példányokat az alkalmazások között.