Mengamankan Azure Key Vault Anda

Azure Key Vault melindungi kunci kriptografi, sertifikat (dan kunci privat yang terkait dengan sertifikat), dan rahasia (seperti string koneksi dan kata sandi) di cloud. Namun, saat menyimpan data sensitif dan penting bagi bisnis, Anda harus mengambil langkah-langkah untuk memaksimalkan keamanan vault dan data yang disimpan di dalamnya.

Rekomendasi keamanan dalam artikel ini menerapkan prinsip Zero Trust: "Verifikasi secara eksplisit", "Gunakan akses hak istimewa paling sedikit", dan "Asumsikan pelanggaran". Untuk panduan Zero Trust yang komprehensif, lihat Pusat Panduan Zero Trust.

Artikel ini menyediakan rekomendasi keamanan untuk membantu melindungi penyebaran Azure Key Vault Anda.

Keamanan khusus layanan

Azure Key Vault memiliki pertimbangan keamanan unik yang terkait dengan arsitektur vault dan penggunaan layanan yang sesuai untuk menyimpan materi kriptografi.

Arsitektur penyimpanan kunci

• Gunakan satu Key Vault per aplikasi, wilayah, dan lingkungan: Buat Key Vault terpisah untuk lingkungan pengembangan, praproduksi, dan produksi untuk mengurangi dampak pelanggaran.

  Brankas kunci menentukan batas keamanan untuk rahasia yang disimpan. Mengelompokkan rahasia ke dalam vault yang sama meningkatkan radius ledakan dari sebuah peristiwa keamanan karena serangan mungkin dapat mengakses rahasia di berbagai bidang. Untuk mengurangi akses terhadap berbagai kekhawatiran, pertimbangkan rahasia apa yang harus dapat diakses oleh aplikasi tertentu, lalu pisahkan brankas kunci Anda berdasarkan pembagian ini. Memisahkan brankas kunci berdasarkan aplikasi adalah batasan yang paling umum. Batasan keamanan, bagaimanapun, dapat lebih terperinci untuk aplikasi besar, misalnya, per grup layanan terkait.

• Gunakan satu Key Vault untuk setiap penyewa dalam solusi multipenyewa: Untuk solusi SaaS multipenyewa, gunakan Key Vault yang terpisah untuk setiap penyewa guna mempertahankan isolasi data. Ini adalah pendekatan yang direkomendasikan untuk isolasi data pelanggan dan beban kerja yang aman. Lihat Multitenancy dan Azure Key Vault.

Penyimpanan Objek di Key Vault

• Jangan gunakan Key Vault sebagai penyimpanan data untuk menyimpan konfigurasi pelanggan atau konfigurasi layanan: Layanan harus menggunakan Azure Storage dengan enkripsi tidak aktif atau manajer konfigurasi Azure. Penyimpanan lebih berkinerja untuk skenario tersebut.

• Jangan menyimpan sertifikat (milik pelanggan atau layanan) sebagai rahasia: Sertifikat milik layanan harus disimpan sebagai sertifikat Key Vault dan dikonfigurasi untuk rotasi otomatis. Untuk informasi selengkapnya, lihat Brankas kunci Azure: Sertifikat dan Memahami autorotasi di Azure Key Vault.

  • Konten pelanggan (tidak termasuk rahasia dan sertifikat) tidak boleh disimpan di Key Vault: Key Vault bukan penyimpanan data dan tidak dibuat untuk menskalakan seperti penyimpanan data. Sebagai gantinya, gunakan penyimpanan data yang tepat seperti Cosmos DB atau Azure Storage. Pelanggan memiliki opsi BYOK (Bring Your Own Key) untuk enkripsi saat tidak aktif. Kunci ini dapat disimpan di Azure Key Vault untuk mengenkripsi data di Azure Storage.

Keamanan Jaringan

Mengurangi paparan jaringan sangat penting untuk melindungi Azure Key Vault dari akses yang tidak sah. Konfigurasikan pembatasan jaringan berdasarkan persyaratan dan kasus penggunaan organisasi Anda. Untuk informasi terperinci dan instruksi konfigurasi langkah demi langkah, lihat Mengonfigurasi keamanan jaringan untuk Azure Key Vault.

Fitur keamanan jaringan ini tercantum dari kemampuan yang paling dibatasi hingga paling tidak terbatas. Pilih konfigurasi yang paling sesuai dengan kasus penggunaan organisasi Anda.

• Nonaktifkan akses jaringan publik dan gunakan Titik Akhir Privat saja: Sebarkan Azure Private Link untuk membuat titik akses privat dari jaringan virtual ke Azure Key Vault dan mencegah paparan internet publik. Untuk langkah-langkah implementasi, lihat Mengintegrasikan Key Vault dengan Azure Private Link.

  • Beberapa skenario pelanggan memerlukan layanan Microsoft tepercaya untuk melewati firewall, dalam kasus seperti itu vault mungkin perlu dikonfigurasi untuk mengizinkan Layanan Microsoft Tepercaya. Untuk detail selengkapnya, lihat Mengonfigurasi keamanan jaringan: Firewall Key Vault Diaktifkan (Khusus Layanan Tepercaya).

• Aktifkan Firewall Key Vault: Batasi akses ke alamat IP statis publik atau jaringan virtual Anda. Untuk detail selengkapnya, lihat Mengonfigurasi keamanan jaringan: Pengaturan firewall.

  • Beberapa skenario pelanggan memerlukan layanan Microsoft tepercaya untuk melewati firewall, dalam kasus seperti itu vault mungkin perlu dikonfigurasi untuk mengizinkan Layanan Microsoft Tepercaya.

• Gunakan Perimeter Keamanan Jaringan: Tentukan batas isolasi jaringan logis untuk sumber daya PaaS (misalnya, Azure Key Vault, Azure Storage, dan SQL Database) yang disebarkan di luar perimeter jaringan virtual organisasi Anda dan/atau alamat IP statis publik. Untuk detail selengkapnya, lihat Mengonfigurasi keamanan jaringan: Perimeter Keamanan Jaringan.

  • publicNetworkAccess: SecuredByPerimeter mengambil alih "Izinkan layanan Microsoft tepercaya untuk melewati firewall", yang berarti bahwa beberapa skenario yang mengharuskan kepercayaan tersebut tidak akan berfungsi.

TLS dan HTTPS

Azure Key Vault mendukung versi protokol TLS 1.2 dan 1.3 untuk memastikan komunikasi yang aman antara klien dan layanan.

• Terapkan kontrol versi TLS: Antarmuka depan dari Key Vault (plane data) adalah server multipenyewa di mana brankas kunci dari pelanggan yang berbeda dapat berbagi alamat IP publik yang sama. Untuk mencapai isolasi, setiap permintaan HTTP diautentikasi dan diotorisasi secara independen. Protokol HTTPS memungkinkan klien untuk berpartisipasi dalam negosiasi TLS, dan klien dapat menerapkan versi TLS untuk memastikan seluruh koneksi menggunakan tingkat perlindungan yang sesuai. Lihat Pencatatan Key Vault untuk contoh kueri Kusto yang memantau versi TLS yang digunakan oleh klien.

Manajemen identitas dan akses

Azure Key Vault menggunakan ID Microsoft Entra untuk autentikasi. Akses dikontrol melalui dua antarmuka: sarana kontrol (untuk mengelola Key Vault itu sendiri) dan sarana data (untuk bekerja dengan kunci, rahasia, dan sertifikat). Untuk detail tentang model akses dan titik akhir, lihat Azure RBAC untuk operasi bidang data Key Vault.

• Mengaktifkan identitas terkelola: Gunakan identitas terkelola Azure untuk semua koneksi aplikasi dan layanan ke Azure Key Vault untuk menghilangkan kredensial yang dikodekan secara permanen. Identitas terkelola membantu mengamankan autentikasi sambil menghapus kebutuhan akan kredensial eksplisit. Untuk metode dan skenario autentikasi, lihat Autentikasi Azure Key Vault.

• Gunakan kontrol akses berbasis peran: Gunakan Kontrol Akses Berbasis Peran Azure (RBAC) untuk mengelola akses ke Azure Key Vault. Untuk informasi selengkapnya, lihat Azure RBAC untuk operasi bidang data Key Vault.

  • Jangan gunakan kebijakan akses warisan: Kebijakan akses warisan memiliki kerentanan keamanan yang diketahui dan kurangnya dukungan untuk Privileged Identity Management (PIM), dan tidak boleh digunakan untuk data dan beban kerja penting. Azure RBAC mengurangi potensi risiko akses Key Vault yang tidak sah. Lihat Kontrol akses berbasis peran Azure (Azure RBAC) vs. kebijakan akses (warisan).

  Penting

  Model izin RBAC memungkinkan penetapan peran pada tingkat brankas untuk akses persisten dan penugasan yang memenuhi syarat (JIT) untuk operasi dengan hak istimewa. Penetapan cakupan objek hanya mendukung operasi baca; operasi administratif seperti kontrol akses jaringan, pemantauan, dan manajemen objek memerlukan izin tingkat vault. Untuk isolasi yang aman di seluruh tim aplikasi, gunakan satu Key Vault per aplikasi.

• Menetapkan peran istimewa just-in-time (JIT): Gunakan Azure Privileged Identity Management (PIM) untuk menetapkan peran JIT Azure RBAC yang memenuhi syarat untuk administrator dan operator Key Vault. Lihat Gambaran Umum Privileged Identity Management (PIM) untuk detailnya.

  • Memerlukan persetujuan untuk aktivasi peran istimewa: Tambahkan lapisan keamanan tambahan untuk mencegah akses yang tidak sah dengan memastikan bahwa setidaknya satu pemberi persetujuan diperlukan untuk mengaktifkan peran JIT. Lihat Mengonfigurasi pengaturan peran Microsoft Entra di Privileged Identity Management.
  • Memaksakan autentikasi multifaktor untuk aktivasi peran: Mengharuskan MFA untuk mengaktifkan peran JIT bagi operator dan administrator. Lihat Autentikasi Multifaktor Microsoft Entra.

• Aktifkan Kebijakan Akses Bersyarat Microsoft Entra: Key Vault mendukung kebijakan Akses Bersyarat Microsoft Entra untuk menetapkan kontrol akses berdasarkan kondisi seperti lokasi pengguna atau perangkat. Untuk informasi selengkapnya, lihat Gambaran umum Akses Kondisional.

• Terapkan prinsip hak istimewa paling sedikit: Batasi jumlah pengguna dengan peran administratif dan pastikan pengguna hanya diberikan izin minimum yang diperlukan untuk peran mereka. Lihat Meningkatkan keamanan dengan prinsip hak istimewa paling sedikit

Perlindungan Data

Melindungi data yang disimpan di Azure Key Vault memerlukan pengaktifan penghapusan sementara, perlindungan penghapusan menyeluruh, dan menerapkan rotasi otomatis materi kriptografi.

• Aktifkan penghapusan sementara: Pastikan penghapusan sementara diaktifkan sehingga objek Key Vault yang dihapus dapat dipulihkan dalam periode retensi 7 hingga 90 hari. Lihat gambaran umum penghapusan sementara Azure Key Vault.

• Aktifkan perlindungan penghapusan permanen: Aktifkan perlindungan ini untuk melindungi objek Key Vault dari penghapusan yang tidak disengaja atau berbahaya, bahkan setelah penghapusan sementara diaktifkan. Lihat Gambaran umum hapus lunak Azure Key Vault: Perlindungan Pembersihan

• Menerapkan autorotasi untuk aset kriptografi: Mengonfigurasi rotasi otomatis kunci, rahasia, dan sertifikat untuk meminimalkan risiko kompromi dan memastikan kepatuhan terhadap kebijakan keamanan. Rotasi reguler materi kriptografi adalah praktik keamanan yang penting. Lihat Memahami rotasi otomatis di Azure Key Vault, Mengonfigurasi autorotasi kunci, Mengonfigurasi autorotasi sertifikat, Mengotomatiskan rotasi rahasia untuk sumber daya dengan satu set kredensial autentikasi, dan Mengotomatiskan rotasi rahasia untuk sumber daya dengan dua set kredensial autentikasi.

Kepatuhan dan tata kelola

Audit kepatuhan reguler dan kebijakan tata kelola memastikan penyebaran Key Vault Anda mematuhi standar keamanan dan persyaratan organisasi.

• Gunakan Azure Policy untuk menerapkan konfigurasi: Mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi aman untuk Azure Key Vault dan menyiapkan pemberitahuan untuk penyimpangan dari kebijakan. Lihat Kontrol Kepatuhan Terhadap Peraturan Azure Policy untuk Azure Key Vault.

Pencatatan dan Deteksi Ancaman

Pengelogan dan pemantauan komprehensif memungkinkan deteksi aktivitas mencurigakan dan kepatuhan terhadap persyaratan audit.

• Aktifkan pencatatan audit: Pencatatan Key Vault menyimpan informasi tentang operasi yang dilakukan pada brankas. Untuk detail selengkapnya, lihat pencatatan log Key Vault.

• Aktifkan Pertahanan Microsoft untuk Key Vault: Aktifkan Pertahanan Microsoft untuk Key Vault untuk memantau dan memperingatkan aktivitas yang mencurigakan. Untuk detailnya, lihat Pengenalan Microsoft Defender untuk Key Vault.

• Aktifkan pemberitahuan log untuk peristiwa keamanan: Siapkan pemberitahuan untuk diberi tahu saat peristiwa penting dicatat, seperti kegagalan akses atau penghapusan rahasia. Lihat Pemantauan dan pemberitahuan untuk Azure Key Vault.

• Pemantauan dan pemberitahuan: Integrasikan Key Vault dengan Event Grid untuk menerima pemberitahuan tentang perubahan pada kunci, sertifikat, atau rahasia. Untuk detailnya, lihat Memantau Key Vault dengan Azure Event Grid.

Pencadangan dan Pemulihan

Pencadangan reguler memastikan kelangsungan bisnis dan melindungi dari kehilangan data dari penghapusan yang tidak disengaja atau berbahaya.

• Aktifkan pencadangan asli untuk Azure Key Vault: Konfigurasikan dan gunakan fitur pencadangan asli Azure Key Vault untuk mencadangkan rahasia, kunci, dan sertifikat, memastikan pemulihan. Lihat Pencadangan Azure Key Vault.

• Pastikan cadangan untuk rahasia yang tidak dapat dibuat ulang: Cadangkan objek Key Vault (seperti kunci enkripsi) yang tidak dapat dibuat ulang dari sumber lain. Lihat Pencadangan Azure Key Vault.

• Menguji prosedur pencadangan dan pemulihan: Untuk memverifikasi efektivitas proses pencadangan, uji pemulihan rahasia, kunci, dan sertifikat Key Vault secara teratur. Lihat Pencadangan Azure Key Vault.

• Memahami independensi salinan cadangan: Kunci yang dipulihkan dari cadangan ke vault lain sepenuhnya independen dari aslinya. Menonaktifkan, menghapus, atau membersihkan kunci asli tidak akan memengaruhi setiap salinan yang telah dipulihkan. Menonaktifkan atau menghapus kunci juga membuat semua layanan data yang bergantung menjadi offline (misalnya, database SQL TDE tidak dapat diakses dan akun Penyimpanan dengan kunci yang dikelola pelanggan mengembalikan kesalahan). Jika kunci dicurigai disusupi, putar ke kunci baru dan migrasikan layanan dependen sebelum menonaktifkan yang lama. Untuk detail selengkapnya, lihat Pertimbangan keamanan cadangan dan Respons penyusupan kunci.

Artikel keamanan terkait

Untuk praktik terbaik keamanan khusus untuk kunci, rahasia, dan sertifikat, lihat:

• Mengamankan kunci Azure Key Vault Anda - Praktik terbaik keamanan khusus kunci termasuk rotasi, perlindungan HSM, dan BYOK
• Mengamankan kunci rahasia Azure Key Vault Anda - Praktik keamanan terbaik khusus untuk kunci rahasia termasuk rotasi, penyimpanan sementara, dan pemantauan
• Mengamankan sertifikat Azure Key Vault Anda - Praktik terbaik keamanan khusus sertifikat termasuk manajemen siklus hidup, perpanjangan, dan integrasi CA

Langkah berikutnya

• Garis besar keamanan Azure Key Vault
• Mengamankan penyebaran Azure Managed HSM Anda
• Titik akhir layanan jaringan virtual untuk Azure Key Vault
• Azure RBAC: Peran bawaan