Megosztás a következőn keresztül:


Az Azure biztonsági alapkonfigurációja Key Vault

Ez a biztonsági alapkonfiguráció a Microsoft cloud security benchmark 1.0-s verziójának útmutatását alkalmazza a Key Vault. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Key Vault vonatkozó kapcsolódó útmutató alapján van csoportosítva.

Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.

Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.

Megjegyzés

A Key Vault nem alkalmazható funkciók ki lettek zárva. A Key Vault a Microsoft felhőbiztonsági teljesítménytesztjének teljes Key Vault biztonsági alapkonfiguráció-leképezési fájlban tekinthet meg.

Biztonsági profil

A biztonsági profil összefoglalja a Key Vault nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.

Szolgáltatás viselkedési attribútuma Érték
Product Category (Termék kategóriája) Biztonság
Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez Nincs hozzáférés
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában Igaz
Az ügyféltartalmakat inaktív állapotban tárolja Igaz

Hálózati biztonság

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.

NS-1: Hálózati szegmentálási határok létrehozása

Funkciók

Virtuális hálózat integrációja

Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az Azure Key Vault támogatja a virtuális hálózati szolgáltatásvégpontokat, amelyek lehetővé teszik a kulcstartó hozzáférésének korlátozását egy adott virtuális hálózathoz.

Referencia: Azure Key Vault Network Security

Hálózati biztonsági csoport támogatása

Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. Hozzon létre NSG-szabályokat a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.

NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel

Funkciók

Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűrésére (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Privát végpontok üzembe helyezése az Azure Key Vault számára egy privát hozzáférési pont létrehozásához az erőforrásokhoz.

Referencia: Azure Key Vault Private Link

Nyilvános hálózati hozzáférés letiltása

Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Tiltsa le a nyilvános hálózati hozzáférést az Azure Key Vault tűzfal IP-szűrési szabályaival.

Referencia: Azure Key Vault hálózati biztonság

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.KeyVault:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
Az Azure Key Vault engedélyezve kell lennie a tűzfalnak Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető a nyilvános IP-címek számára. Igény szerint konfigurálhat bizonyos IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security Naplózás, megtagadás, letiltva 3.2.1

Identitáskezelés

További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.

IM-1: Központosított identitás- és hitelesítési rendszer használata

Funkciók

Azure AD adatsík-hozzáféréshez szükséges hitelesítés

Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Azure Key Vault-hitelesítés

Helyi hitelesítési módszerek az adatsík-hozzáféréshez

Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például helyi felhasználónév és jelszó. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése

Funkciók

Felügyelt identitások

Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Lehetőség szerint azure-beli felügyelt identitásokat használjon szolgáltatásnevek helyett, amelyek hitelesíthetők az Azure Active Directory-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban (Azure AD). A felügyelt identitás hitelesítő adatait teljes mértékben felügyeli, rotálta és védi a platform, így elkerülheti a kódban vagy konfigurációs fájlokban található, nem rögzített hitelesítő adatokat.

Referencia: Azure Key Vault-hitelesítés

Egyszerű szolgáltatások

Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

További útmutatás: Ajánlott felügyelt identitásokat használni a szolgáltatásnevek helyett. Ha szolgáltatásneveket kell használni, korlátozza a használatot olyan esetekre, amikor nem felhasználóalapú hozzáférésre van szükség, és a felügyelt identitások nem támogatottak, például automatizálási folyamatok vagy külső rendszerintegrációk.

Referencia: Azure Key Vault-hitelesítés

IM-7: Erőforrás-hozzáférés korlátozása feltételek alapján

Funkciók

Adatsík feltételes hozzáférése

Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.

Referencia: Azure Key Vault feltételes hozzáférés

IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása

Funkciók

A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault

Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Győződjön meg arról, hogy a titkos kulcsok és a hitelesítő adatok biztonságos helyeken, például az Azure Key Vault vannak tárolva ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazták őket.

Referencia: Az Azure Key Vault titkos kódjai

Emelt szintű hozzáférés

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.

PA-1: A magas jogosultsági szintű/rendszergazdai felhasználók elkülönítése és korlátozása

Funkciók

Helyi Rendszergazda fiókok

Leírás: A szolgáltatás a helyi rendszergazdai fiók fogalmával rendelkezik. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet

Funkciók

Azure RBAC adatsíkhoz

Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) kezelheti az Azure-erőforrások hozzáférését beépített szerepkör-hozzárendelésekkel. Az Azure RBAC-szerepkörök felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz rendelhetők.

Referencia: Az Azure Key Vault RBAC támogatása

Adatvédelem

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.

DP-3: Bizalmas adatok titkosítása átvitel közben

Funkciók

Adatok átviteltitkosítás közben

Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

További útmutató: Nincs szükség további konfigurációkra, mivel ezt az Azure Platform kezeli

Referencia: Az Azure Key Vault biztonsági funkciói

DP-4: Alapértelmezés szerint engedélyezi az inaktív adatok titkosítását

Funkciók

Inaktív adatok titkosítása platformkulcsokkal

Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, az inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Az Azure Key Vault titkos kulcsok és kulcsok biztonságos tárolása

DP-5: Szükség esetén használja az ügyfél által felügyelt kulcsbeállítást az inaktív adatok titkosításában

Funkciók

Inaktív adatok titkosítása a CMK használatával

Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az Azure Key Vault tárolja a kulcsokat az ügyfél által felügyelt kulcsok (CMK) titkosításához. A CMK-megoldáshoz használhat szoftveres védelem alatt álló kulcsokat vagy HSM (hardveres biztonsági modul) által védett kulcsokat.

Megjegyzés: Az ügyfél által felügyelt kulcs és a HSM részleteiért lásd: https://techcommunity.microsoft.com/t5/azure-confidential-computing/azure-key-vault-managed-hsm-control-your-data-in-the-cloud/ba-p/3359310

Referencia: Az Azure Key Vault titkos kulcsok és kulcsok biztonságos tárolása

DP-6: Biztonságos kulcskezelési folyamat használata

Funkciók

Kulcskezelés az Azure Key Vault

Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Kövesse az Azure Key Vault ajánlott eljárásait a kulcséletciklus biztonságos kezeléséhez a key vaultban. Ez magában foglalja a kulcslétrehozást, a terjesztést, a tárolást, a forgatást és a visszavonást.

Referencia: Azure Key Vault kulcskezelés

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.KeyVault:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
Key Vault kulcsoknak lejárati dátummal kell rendelkezniük A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandóak. Az örökre érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági eljárás a titkosítási kulcsok lejárati dátumának beállítása. Naplózás, megtagadás, letiltva 1.0.2

DP-7: Biztonságos tanúsítványkezelési folyamat használata

Funkciók

Tanúsítványkezelés az Azure Key Vault

Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Kövesse az Azure Key Vault ajánlott eljárását a tanúsítvány életciklusának biztonságos kezeléséhez a kulcstartóban. Ide tartozik a kulcs létrehozása/importálása, elforgatása, visszavonása, tárolása és végleges törlése.

Referencia: Azure Key Vault tanúsítványkezelés

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.KeyVault:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük A szervezeti megfelelőségi követelmények kezeléséhez adja meg, hogy a tanúsítvány mennyi ideig érvényes lehet a kulcstartóban. audit, Audit, Deny, Deny, Disabled, Disabled 2.2.1

Eszközkezelés

További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.

AM-2: Csak jóváhagyott szolgáltatások használata

Funkciók

Az Azure Policy támogatása

Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure Key Vault konfigurációinak naplózására és kikényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon. Használja Azure Policy [deny] és [deploy ha nem létezik] effektusokat az Azure-erőforrások közötti biztonságos konfiguráció kikényszerítéséhez.

Referencia: Azure Key Vault szabályzat

Naplózás és fenyegetésészlelés

További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelési képességek engedélyezése

Funkciók

Microsoft Defender szolgáltatáshoz/termékajánlathoz

Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Engedélyezze a Microsoft Defender Key Vault számára, amikor riasztást kap Microsoft Defender Key Vault, vizsgálja meg és válaszoljon a riasztásra.

Referencia: azure Key Vault Microsoft Defender

LT-4: Naplózás engedélyezése biztonsági vizsgálathoz

Funkciók

Azure-erőforrásnaplók

Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Engedélyezze az erőforrásnaplókat a kulcstartóhoz. Az Azure Key Vault erőforrásnaplói naplózhatják a kulcsműveleti tevékenységeket, például a kulcslétrehozási, lekérési és törlési műveleteket.

Referencia: Azure Key Vault naplózása

Biztonsági másolat és helyreállítás

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Funkciók

Azure Backup

Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Szolgáltatás natív biztonsági mentési képessége

Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használja Azure Backup). További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

További útmutatás: Az Azure Key Vault natív biztonsági mentési funkciójával biztonsági másolatot készíthet a titkos kódokról, kulcsokról és tanúsítványokról, és gondoskodhat arról, hogy a szolgáltatás helyreállítható legyen a biztonsági mentési adatokkal.

Referencia: Azure Key Vault biztonsági mentés

Következő lépések