Mengamankan kunci Azure Key Vault Anda

kunci Azure Key Vault melindungi kunci kriptografi yang digunakan untuk enkripsi, tanda tangan digital, dan operasi pembungkusan kunci. Artikel ini memberikan rekomendasi keamanan khusus untuk manajemen kunci kriptografi.

Nota

Artikel ini berfokus pada praktik keamanan khusus untuk kunci Key Vault. Untuk panduan keamanan Key Vault komprehensif termasuk keamanan jaringan, manajemen identitas dan akses, dan arsitektur brankas, lihat Mengamankan Azure Key Vault.

Jenis kunci dan tingkat perlindungan

Azure Key Vault mendukung berbagai jenis kunci dengan berbagai tingkat perlindungan. Pilih jenis kunci yang sesuai berdasarkan persyaratan keamanan Anda:

• Kunci yang dilindungi perangkat lunak (RSA, EC): Kunci yang dilindungi oleh perangkat lunak tervalidasi FIPS 140-2 Level 1. Cocok untuk sebagian besar aplikasi yang memerlukan operasi enkripsi dan penandatanganan.

• Kunci yang dilindungi HSM (RSA-HSM, EC-HSM): Kunci yang dilindungi oleh modul keamanan perangkat keras (HSM). Semua kunci baru dan versi kunci dibuat pada HSM tervalidasi FIPS 140-3 Level 3 (HSM Platform 2). Direkomendasikan untuk skenario keamanan tinggi yang memerlukan perlindungan kunci yang didukung perangkat keras.

• Kunci HSM terkelola: Kunci di kumpulan HSM khusus penyewa tunggal dengan perangkat keras tervalidasi FIPS 140-3 Level 3. Diperlukan untuk persyaratan keamanan dan kepatuhan tertinggi.

Untuk informasi selengkapnya tentang jenis kunci, lihat Tentang kunci Azure Key Vault.

Penggunaan dan operasi utama

Batasi operasi utama hanya untuk yang diperlukan aplikasi Anda untuk meminimalkan permukaan serangan:

• Batasi operasi kunci: Hanya berikan izin yang diperlukan (enkripsi, dekripsi, tanda tangani, verifikasi, wrapKey, unwrapKey)
• Gunakan ukuran kunci yang sesuai:
  • Kunci RSA: Gunakan minimum 2048-bit, 4096-bit untuk skenario keamanan tinggi
  • Kunci EC: Gunakan kurva P-256, P-384, atau P-521 berdasarkan persyaratan keamanan
• Kunci terpisah berdasarkan tujuan: Gunakan kunci yang berbeda untuk enkripsi vs. operasi penandatanganan untuk membatasi dampak jika kunci disusupi

Untuk informasi lebih lanjut mengenai operasi kunci, lihat Operasi Kunci di Key Vault.

Rotasi kunci dan pengelolaan versi

Terapkan rotasi kunci reguler untuk membatasi paparan dari kunci yang disusupi:

• Aktifkan rotasi kunci otomatis: Konfigurasikan kebijakan rotasi otomatis untuk memutar kunci tanpa waktu henti aplikasi. Lihat Mengonfigurasi autorotasi kunci
• Mengatur frekuensi rotasi: Memutar kunci enkripsi setidaknya setiap dua tahun, atau lebih sering berdasarkan persyaratan kepatuhan
• Gunakan penerapan versi kunci: Key Vault secara otomatis membuat versi kunci, memungkinkan rotasi tanpa hambatan tanpa merusak data terenkripsi yang ada
• Merencanakan enkripsi ulang: Untuk data jangka panjang, terapkan strategi untuk mengenkripsi ulang data dengan versi kunci baru

Untuk informasi selengkapnya tentang rotasi, lihat Konfigurasi autorotasi kunci kriptografi di Azure Key Vault.

Pencadangan dan pemulihan kunci

Lindungi dari kehilangan data dengan menerapkan prosedur pencadangan dan pemulihan yang tepat:

• Aktifkan penghapusan sementara: Penghapusan sementara memungkinkan pemulihan kunci yang dihapus dalam periode retensi (7-90 hari). Lihat gambaran umum fitur "soft-delete" pada Azure Key Vault
• Aktifkan perlindungan penghapusan menyeluruh: Cegah penghapusan kunci secara permanen selama periode retensi. Lihat Perlindungan penghapusan menyeluruh
• Mencadangkan kunci penting: Mengekspor dan menyimpan dengan aman cadangan kunci yang melindungi data yang tidak tergantikan. Pencadangan Azure Key Vault lihat
• Membatasi izin pencadangan: Berikan backup operasi kunci hanya untuk identitas yang benar-benar membutuhkannya. Kunci yang dicadangkan yang dipulihkan ke vault lain akan menjadi sepenuhnya independen dari yang asli. Lihat Pertimbangan keamanan cadangan untuk detailnya.
• Prosedur pemulihan dokumen: Mempertahankan runbook untuk skenario pemulihan kunci

Respon terhadap kompromi kunci

Jika Anda menduga bahwa sebuah kunci telah disusupi (misalnya, melalui pencadangan dan pemulihan tanpa izin ke tempat penyimpanan lain), jangan langsung menonaktifkan atau menghapus kunci tersebut. Salinan yang dipulihkan sepenuhnya independen dari arsip sumber, sehingga menonaktifkan, menghapus, atau membersihkan arsip asli tidak mempengaruhi keabsahan salinan yang dipulihkan. Pada saat yang sama, menonaktifkan atau menghapus kunci membuat semua layanan yang tergantung menjadi offline (Azure SQL TDE, Azure Storage SSE, Azure Disk Encryption, dan lain-lain).

Sebagai gantinya, tangani pelanggaran, ganti ke kunci baru di brankas yang bersih, migrasikan semua layanan dependen, dan baru kemudian nonaktifkan kunci yang disusupi. Untuk prosedur respons insiden langkah demi langkah lengkap, lihat Pertimbangan keamanan cadangan. Untuk prosedur rotasi kunci, lihat Mengonfigurasi autorotasi kunci kriptografi di Azure Key Vault.

Untuk mendeteksi eksfiltrasi kunci yang tidak sah lebih awal, pantau log audit Key Vault untuk KeyBackup operasi dan KeyRestore pemberitahuan tentang aktivitas tak terduga. Untuk informasi selengkapnya, lihat Pencatatan Azure Key Vault.

Bawa Kunci Anda Sendiri (BYOK)

Saat mengimpor kunci Anda sendiri ke Key Vault, ikuti praktik terbaik keamanan:

• Menggunakan pembuatan kunci aman: Menghasilkan kunci di HSM lokal yang didukung yang memenuhi persyaratan kepatuhan Anda
• Lindungi kunci selama transfer: Gunakan proses BYOK dari Key Vault untuk mentransfer kunci dengan aman. Lihat Apor kunci yang dilindungi HSM ke Key Vault (BYOK)
• Memvalidasi impor kunci: Memverifikasi atribut dan izin kunci setelah impor
• Mempertahankan pembuktian kunci: Mendokumentasikan metode asal dan transfer kunci yang diimpor

Untuk informasi selengkapnya tentang BYOK, lihat Impor kunci yang dilindungi HSM untuk Key Vault.

Rilis dan pengesahan utama

Untuk skenario yang memerlukan rilis kunci ke lingkungan tepercaya:

• Gunakan kebijakan rilis kunci: Mengonfigurasi kebijakan rilis berbasis atestasi untuk mengatur kapan kunci dapat dikeluarkan dari Key Vault
• Verifikasi pengesahan: Pastikan lingkungan yang meminta memberikan pengesahan yang valid sebelum merilis kunci
• Rilis kunci audit: Memantau dan mencatat semua operasi rilis utama

Untuk informasi selengkapnya tentang rilis kunci, lihat Azure Key Vault key release.

Pemantauan dan audit

Lacak penggunaan kunci untuk mendeteksi akses yang tidak sah atau pola yang mencurigakan:

• Aktifkan pembuatan log diagnostik: Catat semua operasi utama untuk analisis keamanan. Lihat pencatatan Azure Key Vault
• Memantau operasi kunci: Melacak operasi enkripsi, dekripsi, menandatangani, dan memverifikasi untuk menetapkan pola penggunaan dasar
• Siapkan pemberitahuan: Mengonfigurasi pemberitahuan Azure Monitor untuk:
  • Pola akses kunci yang tidak biasa
  • Operasi kunci gagal
  • Penghapusan atau modifikasi kunci
  • Kunci mendekati kedaluwarsa

Lihat Monitoring dan pemberian peringatan untuk Azure Key Vault.

Masa berlaku kunci

Atur tanggal kedaluwarsa untuk kunci jika sesuai:

• Mengatur kedaluwarsa untuk kunci sementara: Kunci yang digunakan untuk tujuan terbatas waktu harus memiliki tanggal kedaluwarsa
• Monitor kunci yang kedaluwarsa: Gunakan notifikasi dari Event Grid untuk memberi tahu sebelum kunci kedaluwarsa. Lihat Azure Key Vault sebagai sumber Event Grid
• Mengotomatiskan perpanjangan kunci: Menerapkan proses otomatis untuk memutar kunci sebelum kedaluwarsa

Artikel keamanan terkait

• Mengamankan Azure Key Vault Anda - Panduan Keamanan Key Vault yang Komprehensif
• Sekuriti rahasia Azure Key Vault Anda - Praktik terbaik keamanan untuk rahasia
• Sekuriti sertifikat Azure Key Vault Anda - Praktik terbaik keamanan untuk sertifikat

Langkah selanjutnya

• Tentang kunci Azure Key Vault
• Konfigurasi autorotasi kunci kriptografi di Azure Key Vault
• Azure Key Vault panduan pengembang