Az Azure Key Vault védelme

Az Azure Key Vault védi a titkosítási kulcsokat, a tanúsítványokat (és a tanúsítványokkal társított titkos kulcsokat), valamint a titkos kulcsokat (például kapcsolati sztring és jelszavakat) a felhőben. Bizalmas és üzleti szempontból kritikus adatok tárolásakor azonban lépéseket kell tennie a tárolók és a bennük tárolt adatok biztonságának maximalizálása érdekében.

A cikkben szereplő biztonsági javaslatok a Zero Trust elveket implementálják: "Kifejezetten ellenőrizze", "Minimális jogosultsági hozzáférés használata", és "Tegye fel a behatolást". Az átfogó nulla megbízhatósági útmutatásért tekintse meg a Zéró megbízhatósági tanácsadó központot.

Ez a cikk biztonsági javaslatokat tartalmaz az Azure Key Vault üzembe helyezésének védelméhez.

Szolgáltatásspecifikus biztonság

Az Azure Key Vault egyedi biztonsági szempontokat használ a tároló architektúrájával és a szolgáltatás titkosítási anyagok tárolására való megfelelő használatával kapcsolatban.

Key Vault-architektúra

• Használjon egy Key Vault-ot alkalmazásonként, régiónként és környezetenként: A biztonsági incidensek hatásának csökkentése érdekében hozzon létre különálló Key Vault-tárolókat a fejlesztéshez, az előkészítéshez és a termelési környezethez.

  A kulcstárak meghatározzák a biztonsági határokat a titkok tárolásához. A titkok ugyanabba a tárolóba való csoportosítása növeli egy biztonsági esemény hatókörét, mivel a támadások különböző területeken hozzáférhetnek a bizalmas információkhoz. A problémák közötti hozzáférés csökkentése érdekében fontolja meg, hogy egy adott alkalmazás milyen titkos kulcsokhoz férhet hozzá, majd válassza el a kulcstartókat ennek a lehatárolásnak megfelelően. Az alkalmazás szerinti kulcstárhelyek elkülönítése a leggyakoribb elválasztó vonal. A biztonsági határok azonban részletesebbek lehetnek a nagy alkalmazások esetében, például a kapcsolódó szolgáltatások csoportjában.

• Bérlőnként egy Key Vault használata több-bérlős megoldásokban: Több-bérlős SaaS-megoldások esetén minden bérlőhöz használjon külön Key Vaultot az adatelkülönítés fenntartásához. Ez az ajánlott módszer az ügyféladatok és számítási feladatok biztonságos elkülönítéséhez. Lásd: Több-bérlős környezet és Azure Key Vault.

Objektumtároló a Key Vaultban

• Ne használja a Key Vaultot adattárolóként az ügyfélkonfigurációk vagy szolgáltatáskonfigurációk tárolásához: a szolgáltatásoknak az Azure Storage-t kell használniuk inaktív titkosítással vagy az Azure Configuration Managerrel. Az ilyen forgatókönyvek esetében a tárolás nagyobb teljesítményű.

• Ne tárolja titkos kulcsként a tanúsítványokat (az ügyfél vagy a szolgáltatás tulajdonában lévőket): A szolgáltatás tulajdonában lévő tanúsítványokat Key Vault-tanúsítványként kell tárolni, és autorotációra kell konfigurálni. További információért lásd Azure Key Vault: Tanúsítványok és az Azure Key Vault automatikus forgatásának ismertetése.

  • Az ügyféltartalmakat (kivéve a titkos kulcsokat és a tanúsítványokat) nem szabad a Key Vaultban tárolni: a Key Vault nem adattár, és nem adattárként skálázható. Ehelyett használjon egy megfelelő adattárat, például a Cosmos DB-t vagy az Azure Storage-t. Az ügyfelek használhatják a BYOK (Bring Your Own Key) lehetőséget a inaktív titkosításhoz. Ez a kulcs az Azure Key Vaultban tárolható az Azure Storage-ban lévő adatok titkosításához.

Hálózati biztonság

A hálózati kitettség csökkentése kritikus fontosságú az Azure Key Vault jogosulatlan hozzáféréssel szembeni védelme szempontjából. Konfigurálja a hálózati korlátozásokat a szervezet követelményei és használati esete alapján. Részletes információkért és részletes konfigurációs utasításokért lásd: Az Azure Key Vault hálózati biztonságának konfigurálása.

Ezek a hálózati biztonsági funkciók a legkorlátozottabbtól a legkevésbé korlátozott képességekig vannak felsorolva. Válassza ki a szervezet használati esetének leginkább megfelelő konfigurációt.

• Tiltsa le a nyilvános hálózati hozzáférést, és csak privát végpontokat használjon: Helyezze üzembe az Azure Private Linket, hogy privát hozzáférési pontot hozzon létre egy virtuális hálózatból az Azure Key Vaultba, és megakadályozza a nyilvános internetnek való kitettséget. A megvalósítás lépéseit lásd: Key Vault integrálása az Azure Private Linkkel.

  • Egyes ügyfélforgatókönyvek megkövetelik, hogy megbízható Microsoft-szolgáltatások megkerüljék a tűzfalat, ilyen esetekben előfordulhat, hogy a tárolót úgy kell konfigurálni, hogy engedélyezze a megbízható Microsoft-szolgáltatásokat. További részletekért lásd : Hálózati biztonság konfigurálása: Key Vault tűzfal engedélyezve (csak megbízható szolgáltatások esetén).

• Key Vault tűzfal engedélyezése: Nyilvános statikus IP-címekhez vagy virtuális hálózatokhoz való hozzáférés korlátozása. További részletekért lásd : Hálózati biztonság konfigurálása: Tűzfalbeállítások.

  • Egyes ügyfélforgatókönyvek megkövetelik, hogy megbízható Microsoft-szolgáltatások megkerüljék a tűzfalat, ilyen esetekben előfordulhat, hogy a tárolót úgy kell konfigurálni, hogy engedélyezze a megbízható Microsoft-szolgáltatásokat.

• Hálózati biztonsági szegély használata: Logikai hálózati elkülönítési határ definiálása a szervezet virtuális hálózati szegélyén és/vagy nyilvános statikus IP-címén kívül üzembe helyezett PaaS-erőforrásokhoz (például Azure Key Vaulthoz, Azure Storage-hoz és SQL Database-hez). További részletekért lásd : Hálózati biztonság konfigurálása: Hálózati biztonsági szegély.

  • publicNetworkAccess: SecuredByPerimeter felülbírálja a "Megbízható Microsoft-szolgáltatásoknak engedélyezése a tűzfal megkerülésére" beállítást, ami azt jelenti, hogy bizonyos forgatókönyvek, amelyek megkövetelik ezt a megbízhatóságot, nem fognak működni.

TLS és HTTPS

Az Azure Key Vault támogatja a TLS 1.2 és 1.3 protokollverziókat az ügyfelek és a szolgáltatás közötti biztonságos kommunikáció biztosítása érdekében.

• TLS-verziókontroll kényszerítése: A Key Vault előtér (adatsík) egy több-bérlős szerver, ahol különböző ügyfelek kulcstartói osztozhatnak ugyanazon a nyilvános IP-címen. Az elkülönítés érdekében minden HTTP-kérést külön hitelesítünk és engedélyezünk. A HTTPS protokoll lehetővé teszi az ügyfelek számára, hogy részt vegyenek a TLS-egyeztetésben, és az ügyfelek kikényszeríthetik a TLS-verziót annak biztosítása érdekében, hogy a teljes kapcsolat a megfelelő védelmi szintet használja. Az ügyfelek által használt TLS-verziók figyeléséhez tekintse meg a Key Vault naplózását a kusto-minta lekérdezésekhez.

Identitás- és hozzáférés-kezelés

Az Azure Key Vault a Microsoft Entra-azonosítót használja a hitelesítéshez. A hozzáférés vezérlése két felületen történik: a vezérlősíkon (a Key Vault kezeléséhez) és az adatsíkon (kulcsok, titkos kulcsok és tanúsítványok kezeléséhez). A hozzáférési modellről és a végpontokról további információt a Key Vault adatsík-műveleteihez készült Azure RBAC-ben talál.

• Felügyelt identitások engedélyezése: Az Azure-beli felügyelt identitások használata az Azure Key Vaulthoz való összes alkalmazás- és szolgáltatáskapcsolathoz a nehezen kódolt hitelesítő adatok eltávolításához. A felügyelt identitások segítenek a hitelesítés biztonságossá tételében, miközben nincs szükség explicit hitelesítő adatokra. A hitelesítési módszerekről és forgatókönyvekről lásd az Azure Key Vault-hitelesítést.

• Szerepköralapú hozzáférés-vezérlés használata: Az Azure Szerepköralapú hozzáférés-vezérlés (RBAC) használatával kezelheti az Azure Key Vaulthoz való hozzáférést. További információ: Azure RBAC for Key Vault adatsík-műveletek.

  • Ne használjon örökölt hozzáférési szabályzatokat: Az örökölt hozzáférési szabályzatok ismert biztonsági résekkel rendelkeznek, és nem támogatják a Privileged Identity Management (PIM) szolgáltatást, és nem használhatók kritikus fontosságú adatokhoz és számítási feladatokhoz. Az Azure RBAC csökkenti a Key Vault esetleges jogosulatlan hozzáférési kockázatait. Lásd: Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) és hozzáférési szabályzatok (örökölt).

  Fontos

  Az RBAC-engedélymodell lehetővé teszi a tároló szintű szerepköri hozzárendeléseket az állandó hozzáféréshez és a jogosultsági (JIT) hozzárendeléseket a kiemelt műveletekhez. Az objektumhatókör-hozzárendelések csak olvasási műveleteket támogatnak; az olyan felügyeleti műveletekhez, mint a hálózati hozzáférés-vezérlés, a monitorozás és az objektumkezelés, tárolószintű engedélyeket igényelnek. Az alkalmazáscsapatok közötti biztonságos elkülönítés érdekében alkalmazásonként egy Key Vaultot használjon.

• Igény szerinti (JIT) jogosultsági szerepkörök hozzárendelése: Az Azure Privileged Identity Management (PIM) használatával igény szerint aktiválható JIT Azure RBAC-szerepköröket rendelhet a Key Vault rendszergazdáihoz és operátoraihoz. A részletekért tekintse meg a Privileged Identity Management (PIM) áttekintését .

  • Jóváhagyás megkövetelése a kiemelt szerepkör aktiválásához: Adjon hozzá egy további biztonsági réteget a jogosulatlan hozzáférés megakadályozása érdekében, biztosítva, hogy legalább egy jóváhagyó szükséges a JIT-szerepkörök aktiválásához. Lásd: Microsoft Entra szerepkörbeállítások konfigurálása a Privileged Identity Managementben.
  • Többtényezős hitelesítés kényszerítése a szerepkör-aktiváláshoz: Az MFA megkövetelése JIT-szerepkörök aktiválásához az operátorok és rendszergazdák számára. Lásd: Microsoft Entra többtényezős hitelesítés.

• A Microsoft Entra feltételes hozzáférési szabályzatok engedélyezése: A Key Vault támogatja a Microsoft Entra feltételes hozzáférési szabályzatokat a hozzáférési vezérlők olyan feltételeken alapuló alkalmazásához, mint például a felhasználói hely vagy az eszköz. További információ: Feltételes hozzáférés áttekintése.

• Alkalmazza a minimális jogosultság elvét: Korlátozza a rendszergazdai szerepkörrel rendelkező felhasználók számát, és győződjön meg arról, hogy a felhasználók csak a szerepkörükhöz szükséges minimális engedélyeket kapják meg. Lásd: A biztonság növelése a minimális jogosultság elvével

Adatvédelem

Az Azure Key Vaultban tárolt adatok védelméhez engedélyezni kell a helyreállítható törlést, a törlési védelmet és a titkosítási anyagok automatikus rotálásának megvalósítását.

• A helyreállítható törlés bekapcsolása: Győződjön meg arról, hogy engedélyezve van a helyreállítható törlés, hogy a törölt Key Vault-objektumok 7–90 napos megőrzési időn belül helyreállíthatók legyenek. Tekintse meg az Azure Key Vault puha törlés áttekintését.

• A törlés elleni védelem bekapcsolása: Engedélyezze a törlés elleni védelmet a Key Vault-objektumok véletlen vagy rosszindulatú törlése ellen még a helyreállítható törlés engedélyezése után is. Tekintse meg az Azure Key Vault helyreállítható törlési áttekintését: Purge Protection

• Titkosítási eszközök autorotációjának implementálása: A kulcsok, titkok és tanúsítványok automatikus elforgatásának konfigurálása a biztonsági kockázatok minimalizálása és a biztonsági szabályzatoknak való megfelelés biztosítása érdekében. A titkosítási anyagok rendszeres rotálása kritikus biztonsági gyakorlat. Lásd Az Azure Key Vault autorotációjának ismertetése, a kulcsok autorotációjának konfigurálása, a tanúsítványok autorotációjának konfigurálása, az erőforrások titokforgatásának automatizálása egy hitelesítési hitelesítő adatkészlettel, valamint az erőforrások titokforgatásának automatizálása két hitelesítési hitelesítő adatkészlettel.

Megfelelőség és irányítás

A rendszeres megfelelőségi auditok és szabályozási szabályzatok biztosítják, hogy a Key Vault üzembe helyezése megfeleljen a biztonsági szabványoknak és a szervezeti követelményeknek.

• A konfiguráció kikényszerítéséhez használja az Azure Policyt: Konfigurálja az Azure Policyt az Azure Key Vault biztonságos konfigurációinak naplózására és kikényszerítésére, és riasztásokat állítson be a szabályzattól való eltérésekhez. Tekintse meg az Azure Policy szabályozási megfelelőségi vezérlőket az Azure Key Vault számára.

Naplózás és fenyegetésészlelés

Az átfogó naplózás és monitorozás lehetővé teszi a gyanús tevékenységek észlelését és a naplózási követelményeknek való megfelelést.

• Naplózás engedélyezése: A Key Vault naplózása adatokat ment a tárolón végrehajtott műveletekről. További részletekért tekintse meg a Key Vault naplózási információkat.

• Microsoft Defender engedélyezése a Key Vault számára: Engedélyezze a Microsoft Defender a Key Vault számára a gyanús tevékenységek figyelésére és riasztására. További részletekért tekintse meg a Key Vaulthoz készült Microsoft Defendert bemutató cikket.

• Naplóriasztások engedélyezése biztonsági eseményekhez: Beállíthat riasztásokat, amelyek értesítést kapnak a kritikus események naplózásakor, például a hozzáférési hibákról vagy a titkos kódok törléséről. Lásd az Azure Key Vault monitorozását és riasztását.

• Monitorozás és riasztás: A Key Vault és az Event Grid integrálása a kulcsok, tanúsítványok vagy titkos kódok változásairól szóló értesítések fogadásához. További információ: Key Vault monitorozása az Azure Event Grid használatával.

Biztonsági mentés és helyreállítás

A rendszeres biztonsági másolatok biztosítják az üzletmenet folytonosságát, és védelmet nyújtanak az adatvesztéssel szemben a véletlen vagy rosszindulatú törlés ellen.

• Natív biztonsági mentés engedélyezése az Azure Key Vaulthoz: Az Azure Key Vault natív biztonsági mentési funkciójának konfigurálása és használata titkos kulcsok, kulcsok és tanúsítványok biztonsági mentéséhez, biztosítva a helyreállíthatóságot. Tekintse meg az Azure Key Vault biztonsági mentését.

• Győződjön meg arról, hogy a titkos kulcsok nem hozhatók létre újra: Készítsen biztonsági másolatot olyan Key Vault-objektumokról (például titkosítási kulcsokról), amelyeket más forrásokból nem lehet újra létrehozni. Tekintse meg az Azure Key Vault biztonsági mentését.

• Biztonsági mentési és helyreállítási eljárások tesztelése: A biztonsági mentési folyamatok hatékonyságának ellenőrzéséhez rendszeresen tesztelje a Key Vault titkos kulcsainak, kulcsainak és tanúsítványainak visszaállítását. Tekintse meg az Azure Key Vault biztonsági mentését.

• A biztonsági másolatok másolási függetlenségének ismertetése: A biztonsági másolatból egy másik tárolóba visszaállított kulcs teljesen független az eredetitől. Az eredeti kulcs letiltása, törlése vagy törlése nem érinti a visszaállított másolatokat. A kulcs letiltása vagy törlése az összes függő adatszolgáltatást is offline állapotba helyezi (például az SQL TDE-adatbázisok elérhetetlenné válnak, és az ügyfél által felügyelt kulcsokkal rendelkező Storage-fiókok hibát adnak vissza). Ha fennáll a gyanú, hogy a kulcs veszélybe került, cserélje le egy új kulcsra, és migrálja a függő szolgáltatásokat, mielőtt letiltja a régit. További részletekért tekintse meg a biztonsági mentéssel kapcsolatos szempontokat és a kulcskomprosszumra adott választ.

Kapcsolódó biztonsági cikkek

A kulcsokra, titkos kulcsokra és tanúsítványokra vonatkozó ajánlott biztonsági eljárásokért lásd:

• Az Azure Key Vault kulcsainak védelme – Ajánlott kulcsspecifikus biztonsági eljárások, beleértve a rotálást, a HSM-védelmet és a BYOK-ot
• Azure Key Vault-titkos kulcsok védelme – Titkos kulcsokra vonatkozó ajánlott biztonsági eljárások, beleértve a rotálást, a gyorsítótárazást és a monitorozást
• Azure Key Vault-tanúsítványok biztonságossá tétele – Tanúsítványspecifikus biztonsági ajánlott eljárások, beleértve az életciklus-kezelést, a megújítást és a hitelesítésszolgáltató integrációját

Következő lépések

• Az Azure Key Vault biztonsági alapkonfigurációja
• Az Azure Managed HSM üzembe helyezésének védelme
• Az Azure Key Vault virtuális hálózati szolgáltatásvégpontjai
• Azure RBAC: Beépített szerepkörök