Megosztás a következőn keresztül:


Az Azure Key Vault biztonsága

Az Azure Key Vault védi a titkosítási kulcsokat, a tanúsítványokat (és a tanúsítványokkal társított titkos kulcsokat), valamint a titkos kulcsokat (például kapcsolati sztring és jelszavakat) a felhőben. Bizalmas és üzleti szempontból kritikus adatok tárolásakor azonban lépéseket kell tennie a tárolók és a bennük tárolt adatok biztonságának maximalizálása érdekében.

Ez a cikk áttekintést nyújt az Azure Key Vault biztonsági funkcióiról és ajánlott eljárásairól.

Feljegyzés

Az Azure Key Vault biztonsági ajánlásainak átfogó listájáért tekintse meg az Azure Key Vault biztonsági alapkonfigurációját.

Hálózati biztonság

A tárolók expozícióját csökkentheti annak megadásával, hogy mely IP-címek férhetnek hozzá. Az Azure Key Vault virtuális hálózati szolgáltatásvégpontjai lehetővé teszik egy adott virtuális hálózathoz való hozzáférés korlátozását. A végpontok lehetővé teszik az IPv4 -címtartományok (4-es internetprotokoll-verzió) listájának elérését is. Minden olyan felhasználó, aki ezeken a forrásokon kívülről csatlakozik a kulcstartóhoz, megtagadja a hozzáférést. További részletekért tekintse meg az Azure Key Vault virtuális hálózati szolgáltatásvégpontjait

A tűzfalszabályok életbe lépése után a felhasználók csak akkor olvashatnak adatokat a Key Vaultból, ha a kéréseik engedélyezett virtuális hálózatokból vagy IPv4-címtartományokból származnak. Ez a Key Vault Azure Portalról való elérésére is vonatkozik. Bár a felhasználók az Azure Portalon tallózhatnak egy kulcstartóhoz, előfordulhat, hogy nem tudják listázni a kulcsokat, titkos kulcsokat vagy tanúsítványokat, ha az ügyfélszámítógépük nem szerepel az engedélyezett listában. A megvalósítás lépéseit az Azure Key Vault tűzfalainak és virtuális hálózatainak konfigurálása című témakörben találja .

Az Azure Private Link Service lehetővé teszi az Azure Key Vault és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését egy privát végponton keresztül a virtuális hálózaton. Az Azure Private Endpoint egy olyan hálózati adapter, amely privátan és biztonságosan csatlakozik egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így lényegében bekapcsolja a szolgáltatást a virtuális hálózatba. A szolgáltatásba irányuló minden forgalom átirányítható a privát végponton keresztül, így nincs szükség átjárókra, NAT-eszközökre, ExpressRoute- vagy VPN-kapcsolatokra vagy nyilvános IP-címekre. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át, így kiküszöböli a nyilvános internet jelentette kitettséget. Csatlakozhat egy Azure-erőforrás egy példányához, így a hozzáférés-vezérlésben a legmagasabb szintű részletességet érheti el. A megvalósítás lépéseit lásd: Key Vault integrálása az Azure Private Linkkel

TLS és HTTPS

  • A Key Vault előtérrendszere (adatsík) egy több-bérlős kiszolgáló. Ez azt jelenti, hogy a különböző ügyfelek kulcstartói ugyanazt a nyilvános IP-címet használhatják. Az elkülönítés érdekében minden HTTP-kérés hitelesítése és engedélyezése más kéréstől függetlenül történik.
  • A HTTPS protokoll lehetővé teszi, hogy az ügyfél részt vegyen a TLS-egyeztetésben. Az ügyfelek kikényszeríthetik a TLS verzióját, és amikor egy ügyfél ezt teszi, a teljes kapcsolat a megfelelő szintű védelmet fogja használni. A Key Vault támogatja a TLS 1.2 és 1.3 protokollverziókat.

Feljegyzés

Az ügyfelek által használt TLS-verziót a Key Vault-naplók figyelésével figyelheti, és itt található a Kusto-minta lekérdezés.

A Key Vault hitelesítési beállításai

Amikor kulcstartót hoz létre egy Azure-előfizetésben, az automatikusan társítva lesz az előfizetés Microsoft Entra-bérlőjével. Mindkét sík minden hívójának regisztrálnia kell ebben a bérlőben, és hitelesítenie kell magát a kulcstartó eléréséhez. Az alkalmazások mindkét esetben három módon férhetnek hozzá a Key Vaulthoz:

  • Csak alkalmazás: Az alkalmazás egy szolgáltatásnevet vagy egy felügyelt identitást jelöl. Ez az identitás az olyan alkalmazások leggyakoribb forgatókönyve, amelyeknek rendszeresen hozzá kell férnie a kulcstartóból származó tanúsítványokhoz, kulcsokhoz vagy titkos kulcsokhoz. Ahhoz, hogy ez a forgatókönyv működjön, az objectId alkalmazásnak meg kell adni a hozzáférési szabályzatban, és nem applicationId szabad megadnia vagy meg kell lennienull.
  • Csak felhasználó: A felhasználó a kulcstartóhoz a bérlőben regisztrált bármely alkalmazásból hozzáfér. Ilyen típusú hozzáférés például az Azure PowerShell és az Azure Portal. Ahhoz, hogy ez a forgatókönyv működjön, a objectId felhasználót meg kell adni a hozzáférési szabályzatban, és nem applicationId szabad megadni vagy meg kell adninull.
  • Alkalmazás-pluszfelhasználó (más néven összetett identitás): A felhasználónak hozzá kell férnie a kulcstartóhoz egy adott alkalmazásból , és az alkalmazásnak a felhasználó megszemélyesítéséhez az OBO-folyamatot kell használnia. Ahhoz, hogy ez a forgatókönyv működjön, mindkettőt applicationId objectId meg kell adni a hozzáférési szabályzatban. A applicationId rendszer azonosítja a szükséges alkalmazást, és azonosítja a objectId felhasználót. Ez a lehetőség jelenleg nem érhető el az Azure RBAC adatsíkhoz.

Az alkalmazás minden típusú hozzáférés esetén a Microsoft Entra-azonosítóval hitelesít. Az alkalmazás az alkalmazás típusától függően bármilyen támogatott hitelesítési módszert használ. Az alkalmazás jogkivonatot szerez be a síkban lévő erőforráshoz a hozzáférés biztosításához. Az erőforrás egy végpont a felügyeleti vagy adatsíkban az Azure-környezet alapján. Az alkalmazás a jogkivonatot használja, és egy REST API-kérést küld a Key Vaultnak. További információkért tekintse át a teljes hitelesítési folyamatot.

A két síkon történő hitelesítés egyetlen mechanizmusának modellje számos előnnyel jár:

  • A szervezetek központilag szabályozhatják a hozzáférést a szervezet összes kulcstartója számára.
  • Ha egy felhasználó távozik, azonnal elveszíti a hozzáférést a szervezet összes kulcstartója számára.
  • A szervezetek a Microsoft Entra ID beállításaival testre szabhatják a hitelesítést, például engedélyezhetik a többtényezős hitelesítést a hozzáadott biztonság érdekében.

További információkért tekintse meg a Key Vault hitelesítési alapjait.

Az Access-modell áttekintése

A kulcstartóhoz való hozzáférést két interfészen keresztül lehet szabályozni: a felügyeleti síkon és az adatsíkon. A felügyeleti síkon kezeli magát a Key Vaultot. Ebben a síkban a műveletek közé tartozik a kulcstartók létrehozása és törlése, a Key Vault tulajdonságainak lekérése és a hozzáférési szabályzatok frissítése. Az adatsíkon dolgozik a kulcstartóban tárolt adatokkal. Hozzáadhat, törölhet és módosíthat kulcsokat, titkos kódokat és tanúsítványokat.

Mindkét sík a Microsoft Entra-azonosítót használja a hitelesítéshez. Az engedélyezéshez a felügyeleti sík azure-beli szerepköralapú hozzáférés-vezérlést (Azure RBAC), az adatsík pedig Key Vault hozzáférési szabályzatot és Azure RBAC-t használ a Key Vault adatsík-műveleteihez.

A kulcstartó mindkét síkban való eléréséhez minden hívónak (felhasználónak vagy alkalmazásnak) megfelelő hitelesítéssel és engedélyezéssel kell rendelkeznie. A hitelesítés létrehozza a hívó identitását. Az engedélyezés határozza meg, hogy a hívó milyen műveleteket hajthat végre. A Key Vaulttal való hitelesítés a Microsoft Entra-azonosítóval együtt működik, amely az adott biztonsági tag identitásának hitelesítéséért felelős.

A biztonsági tagok olyan objektumok, amelyek egy olyan felhasználót, csoportot, szolgáltatást vagy alkalmazást jelölnek, amely hozzáférést kér az Azure-erőforrásokhoz. Az Azure minden biztonsági taghoz egyedi objektumazonosítót rendel.

  • A felhasználói biztonsági tagok azonosítják azokat a személyeket, akik a Microsoft Entra-azonosítóban profillal rendelkeznek.
  • A csoportbiztonsági tag azonosítja a Microsoft Entra-azonosítóban létrehozott felhasználók egy csoportját. A csoporthoz rendelt szerepkörök vagy engedélyek a csoport összes felhasználójának meg vannak adva.
  • A szolgáltatásnév egy olyan biztonsági egyszerű típus, amely egy alkalmazást vagy szolgáltatást azonosít, vagyis egy kódrészletet, nem pedig egy felhasználót vagy csoportot. A szolgáltatásnév objektumazonosítója az ügyfélazonosítója, és a felhasználónevéhez hasonlóan működik. A szolgáltatásnév ügyfélkódja vagy tanúsítványa a jelszavához hasonlóan működik. Számos Azure-szolgáltatás támogatja a felügyelt identitás hozzárendelését az ügyfélazonosító és a tanúsítvány automatizált felügyeletével. A felügyelt identitás a legbiztonságosabb és ajánlott lehetőség az Azure-ban történő hitelesítéshez.

További információ a Key Vault-hitelesítésről: Hitelesítés az Azure Key Vaultba.

Feltételes hozzáférés

A Key Vault támogatja a Microsoft Entra feltételes hozzáférési szabályzatokat. A feltételes hozzáférési szabályzatok használatával szükség esetén alkalmazhatja a megfelelő hozzáférési vezérlőket a Key Vaultra, hogy a szervezet biztonságban maradjon, és ha nincs rá szükség, ne használja a felhasználót.

További információ: Feltételes hozzáférés áttekintése

Emelt szintű hozzáférés

Az engedélyezés határozza meg, hogy a hívó milyen műveleteket hajthat végre. A Key Vaultban az engedélyezés azure-beli szerepköralapú hozzáférés-vezérlést (Azure RBAC) használ felügyeleti síkon, és azure RBAC- vagy Azure Key Vault-hozzáférési szabályzatokat az adatsíkon.

A tárolókhoz való hozzáférés két felületen vagy síkon keresztül történik. Ezek a síkok a felügyeleti és az adatsík.

  • A felügyeleti síkon kezeli magát a Key Vaultot, és ez a tárolók létrehozásához és törléséhez használt felület. Emellett beolvashatók a kulcstartók tulajdonságai, és kezelhetők a hozzáférési szabályzatok.
  • Az adatsík lehetővé teszi a kulcstartóban tárolt adatokkal való munkát. Hozzáadhat, törölhet és módosíthat kulcsokat, titkos kódokat és tanúsítványokat.

Az alkalmazások végpontokon keresztül érik el a síkokat. A két sík hozzáférési vezérlői egymástól függetlenül működnek. Ha hozzáférést szeretne adni egy alkalmazásnak a kulcsok kulcsok használatához egy kulcstartóban, az adatsík-hozzáférést az Azure RBAC vagy a Key Vault hozzáférési szabályzatával kell megadnia. Ha olvasási hozzáférést szeretne biztosítani a felhasználónak a Key Vault tulajdonságaihoz és címkéihez, de nem fér hozzá az adatokhoz (kulcsokhoz, titkos kulcsokhoz vagy tanúsítványokhoz), akkor hozzáférést biztosít a felügyeleti síkhoz az Azure RBAC-vel.

Az alábbi táblázat a felügyeleti és adatsíkok végpontjait mutatja be.

Hozzáférési sík Hozzáférés végpontjai Üzemeltetés Hozzáférés-vezérlési mechanizmus
Felügyeleti sík Globálisan:
management.azure.com:443

A 21Vianet által üzemeltetett Microsoft Azure:
management.chinacloudapi.cn:443

Amerikai Egyesült Államok kormánya által használt Azure:
management.usgovcloudapi.net:443

Azure Germany:
management.microsoftazure.de:443
Kulcstartók létrehozása, olvasása, frissítése és törlése

Key Vault hozzáférési szabályzatok beállítása

Key Vault-címkék beállítása
Azure RBAC-vel
Adatsík Globálisan:
<tároló-neve>.vault.azure.net:443

A 21Vianet által üzemeltetett Microsoft Azure:
<tároló-neve>.vault.azure.cn:443

Amerikai Egyesült Államok kormánya által használt Azure:
<tároló-neve>.vault.usgovcloudapi.net:443

Azure Germany:
<tároló-neve>.vault.microsoftazure.de:443
Kulcsok: titkosítás, visszafejtés, wrapKey, unwrapKey, sign, verify, get, list, create, update, import, delete, recover, backup, restore, purge, rotáció (előzetes verzió), getrotationpolicy (előzetes verzió), setrotationpolicy (előzetes verzió), release(előzetes verzió)

Tanúsítványok: managecontacts, getissuers, listissuers, setissuers, deleteissuers, manageissuers, get, list, create, import, update, delete, recover, backup, restore, purge

Titkos kódok: lekérés, listázás, beállítás, törlés, helyreállítás, biztonsági mentés, visszaállítás, törlés
Key Vault hozzáférési szabályzat vagy Azure RBAC

A Key Vaulthoz való rendszergazdai hozzáférés kezelése

Amikor kulcstartót hoz létre egy erőforráscsoportban, a hozzáférést a Microsoft Entra ID használatával kezelheti. Lehetővé teszi a felhasználóknak vagy csoportoknak az erőforráscsoport kulcstartóinak kezelését. A megfelelő Azure-szerepkörök hozzárendelésével adott hatókörszinten adhat hozzáférést. Ha hozzáférést szeretne adni egy felhasználónak a kulcstartók kezeléséhez, egy előre meghatározott key vault Contributor szerepkört rendelhet hozzá a felhasználóhoz egy adott hatókörben. A következő hatókörszintek rendelhetők hozzá egy Azure-szerepkörhöz:

  • Előfizetés: Az előfizetés szintjén hozzárendelt Azure-szerepkör az előfizetésen belüli összes erőforráscsoportra és erőforrásra vonatkozik.
  • Erőforráscsoport: Az erőforráscsoport szintjén hozzárendelt Azure-szerepkör az adott erőforráscsoport összes erőforrására vonatkozik.
  • Adott erőforrás: Az adott erőforráshoz hozzárendelt Azure-szerepkör az adott erőforrásra vonatkozik. Ebben az esetben az erőforrás egy adott kulcstartó.

Számos előre definiált szerepkör létezik. Ha egy előre definiált szerepkör nem felel meg az igényeinek, saját szerepkört is meghatározhat. További információ: Azure RBAC: Beépített szerepkörök.

Fontos

Az Access Policy engedélymodell használata esetén a kulcstartó felügyeleti síkjára vonatkozó engedélyeket tartalmazó Microsoft.KeyVault/vaults/write , Key Vault Contributorvagy bármely más szerepkörrel rendelkező felhasználó egy Key Vault hozzáférési szabályzat beállításával Contributorbiztosíthat magának adatsík-hozzáférést. A kulcstartók, kulcsok, titkos kulcsok és tanúsítványok jogosulatlan hozzáférésének és kezelésének megakadályozása érdekében elengedhetetlen, hogy a közreműködői szerepkör hozzáférése korlátozva legyen a kulcstartókhoz az Access Policy engedélymodellben. A kockázat csökkentése érdekében javasoljuk, hogy használja a szerepköralapú hozzáférés-vezérlési (RBAC) engedélymodellt, amely a "Tulajdonos" és a "Felhasználói hozzáférés-rendszergazda" szerepkörökre korlátozza az engedélykezelést, lehetővé téve a biztonsági műveletek és a felügyeleti feladatok egyértelmű elkülönítését. További információt a Key Vault RBAC útmutatójában és az Azure RBAC-ben találhat.

Key Vault-adatokhoz való hozzáférés szabályozása

A Key Vault-kulcsokhoz, tanúsítványokhoz és titkos kulcsokhoz való hozzáférést az Azure RBAC vagy a Key Vault hozzáférési szabályzatai segítségével szabályozhatja.

További információk:

Naplózás és figyelés

A Key Vault naplózása adatokat ment a tárolón végzett tevékenységekről. További részletekért tekintse meg a Key Vault naplózását.

Integrálhatja a Key Vaultot az Event Griddel, hogy értesítést kapjon, ha a kulcstartóban tárolt kulcs, tanúsítvány vagy titkos kulcs állapota megváltozott. További információ: Key Vault monitorozása az Azure Event Grid használatával

Fontos a kulcstartó állapotának monitorozása is, hogy a szolgáltatás a kívánt módon működjön. Ennek módjáról az Azure Key Vault monitorozása és riasztása című témakörben olvashat.

Biztonsági mentés és helyreállítás

Az Azure Key Vault helyreállítható törlési és törlési védelme lehetővé teszi a törölt tárolók és tárolóobjektumok helyreállítását. További részletekért tekintse meg az Azure Key Vault helyreállítható törlési áttekintését.

Emellett rendszeresen biztonsági másolatot kell készítenie a tárolóról a tárolóban lévő objektumok frissítésére/törlésére/létrehozására.

Következő lépések