Keamanan Azure Key Vault

Azure Key Vault melindungi kunci kriptografi, sertifikat (dan kunci privat yang terkait dengan sertifikat), dan rahasia (seperti string koneksi dan kata sandi) di cloud. Namun, saat menyimpan data sensitif dan penting bagi bisnis, Anda harus mengambil langkah-langkah untuk memaksimalkan keamanan vault Anda dan data yang disimpan di dalamnya.

Artikel ini menyediakan ringkasan fitur keamanan dan praktik terbaik untuk Azure Key Vault.

Catatan

Untuk daftar lengkap rekomendasi keamanan Azure Key Vault, lihat Garis dasar Keamanan untuk Azure Key Vault.

Keamanan jaringan

Anda dapat mengurangi paparan vault Anda dengan menentukan alamat IP mana yang memiliki akses ke vault tersebut. Titik akhir layanan jaringan virtual untuk Azure Key Vault memungkinkan Anda untuk membatasi akses ke jaringan virtual tertentu. Titik akhir juga memungkinkan Anda untuk membatasi akses ke kumpulan rentang alamat IPv4 (protokol internet versi 4). Setiap pengguna yang terhubung ke brankas kunci Anda dari luar sumber tersebut akan ditolak aksesnya. Untuk detail selengkapnya, lihat Titik akhir layanan jaringan virtual untuk Azure Key Vault

Setelah aturan firewall berlaku, pengguna hanya dapat membaca data dari Key Vault ketika permintaan mereka berasal dari jaringan virtual yang diizinkan atau rentang alamat IPv4. Ini juga berlaku untuk mengakses Azure Key Vault dari portal Microsoft Azure. Meskipun pengguna dapat menelusuri ke brankas kunci dari portal Microsoft Azure, mereka mungkin tidak dapat mencantumkan kunci, rahasia, atau sertifikat jika komputer klien mereka tidak ada dalam daftar yang diizinkan. Untuk langkah-langkah implementasi, lihat Mengonfigurasi firewall dan jaringan virtual Azure Key Vault

Azure Private Link Service memungkinkan Anda mengakses Azure Key Vault dan layanan pelanggan/mitra yang dihosting Azure melalui Titik Akhir Pribadi di jaringan virtual Anda. Titik Akhir Privat Azure adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat menggunakan alamat IP privat dari VNet Anda, membawa layanan ke VNet Anda secara efektif. Semua lalu lintas ke layanan dapat dialihkan melalui titik akhir privat, sehingga tidak ada gateway, perangkat NAT, koneksi ExpressRoute atau VPN, atau alamat IP publik yang diperlukan. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda dapat menyambungkan ke instans sumber daya Azure, memberi Anda tingkat granularitas tertinggi dalam kontrol akses. Untuk langkah-langkah implementasi, lihat Mengintegrasikan Key Vault dengan Azure Private Link

TLS dan HTTPS

• Ujung depan Key Vault (sarana data) adalah server multi-penyewa. Ini berarti brankas dari pelanggan yang berbeda dapat berbagi alamat IP publik yang sama. Untuk mencapai isolasi, setiap permintaan HTTP diautentikasi dan diotorisasi secara independen dari permintaan lain.
• Protokol HTTPS memungkinkan klien untuk berpartisipasi dalam negosiasi TLS. Klien dapat memberlakukan versi TLS, dan setiap kali klien melakukannya, seluruh koneksi akan menggunakan perlindungan tingkat yang sesuai. Key Vault mendukung versi protokol TLS 1.2 dan 1.3.

Catatan

Anda dapat memantau versi TLS yang digunakan oleh klien dengan memantau log Key Vault dengan sampel kueri Kusto di sini.

Opsi autentikasi Key Vault

Saat Anda membuat brankas kunci di langganan Azure, brankas tersebut secara otomatis dikaitkan dengan penyewa Microsoft Entra langganan. Semua pemanggil di kedua sarana harus mendaftar di penyewa ini dan mengautentikasi untuk mengakses brankas kunci. Pada kedua kasus, aplikasi dapat mengakses Key Vault dalam tiga cara:

• Aplikasi saja :Aplikasi mewakili perwakilan layananlayanan atau identitas terkelola. Identitas ini adalah skenario paling umum untuk aplikasi yang secara berkala perlu mengakses sertifikat, kunci, atau rahasia dari key vault. Agar skenario ini berfungsi, objectId aplikasi harus ditentukan dalam kebijakan akses dan applicationId tidak boleh ditentukan atau harus null .
• Pengguna saja: Pengguna mengakses key vault dari aplikasi apa pun yang terdaftar di penyewa. Contoh jenis akses ini termasuk Azure PowerShell dan portal Azure. Agar skenario ini berfungsi, objectId pengguna harus ditentukan dalam kebijakan akses dan applicationId tidak boleh ditentukan atau harus null.
• Aplikasi-plus-pengguna (kadang-kadang disebut sebagai identitas majemuk): Pengguna diharuskan untuk mengakses key vault dari aplikasi tertentu dan aplikasi harus menggunakan alur autentikasi atas nama (OBO) untuk meniru pengguna. Agar skenario ini berfungsi, baik applicationId dan objectId harus ditentukan dalam kebijakan akses. applicationId mengidentifikasi aplikasi yang diperlukan dan objectId mengidentifikasi pengguna. Saat ini, opsi ini tidak tersedia untuk sarana data Azure RBAC.

Di semua jenis akses, aplikasi mengautentikasi dengan ID Microsoft Entra. Aplikasi ini menggunakan metode autentikasi yang didukung berdasarkan jenis aplikasi. Aplikasi ini memperoleh token untuk sumber daya di bidang untuk memberikan akses. Sumber daya adalah titik akhir dalam manajemen atau bidang data, berdasarkan lingkungan Azure. Aplikasi ini menggunakan token dan mengirimkan permintaan REST API ke Key Vault. Untuk mempelajari selengkapnya, tinjau seluruh alur autentikasi.

Model dari satu mekanisme untuk autentikasi ke kedua sarana memiliki beberapa manfaat:

• Organisasi dapat mengontrol akses secara terpusat ke semua brankas kunci di organisasi mereka.
• Jika pengguna pergi, mereka secara langsung kehilangan akses ke semua brankas kunci di organisasi.
• Organisasi dapat menyesuaikan autentikasi dengan menggunakan opsi di ID Microsoft Entra, seperti mengaktifkan autentikasi multifaktor untuk keamanan tambahan.

Untuk detail selengkapnya, lihat Dasar-dasar autentikasi Key Vault.

Gambaran umum model akses

Akses ke brankas kunci dikontrol melalui dua antarmuka: sarana manajemen dan sarana data. Sarana manajemen adalah tempat Anda mengelola Key Vault. Operasi dalam sarana ini termasuk membuat dan menghapus brankas kunci, mengambil properti Key Vault, dan memperbarui kebijakan akses. Sarana data adalah tempat Anda bekerja dengan data yang disimpan dalam brankas kunci. Anda dapat menambahkan, menghapus, dan memodifikasi kunci, rahasia, dan sertifikat.

Kedua bidang menggunakan ID Microsoft Entra untuk autentikasi. Untuk otorisasi, sarana manajemen menggunakan kontrol akses berbasis peran Azure (Azure RBAC) dan sarana data menggunakan kebijakan akses Key Vault serta Azure RBAC untuk operasi sarana data Key Vault.

Untuk mengakses brankas kunci di salah satu sarana, semua pemanggil (pengguna atau aplikasi) harus memiliki autentikasi dan otorisasi yang tepat. Autentikasi menetapkan identitas pemanggil. Otorisasi menentukan operasi mana yang dapat dijalankan oleh pemanggil. Autentikasi dengan Key Vault berfungsi bersama dengan ID Microsoft Entra, yang bertanggung jawab untuk mengautentikasi identitas perwakilan keamanan tertentu.

Perwakilan keamanan adalah objek yang mewakili pengguna, grup, layanan, atau aplikasi yang meminta akses ke sumber daya Azure. Azure menetapkan ID objek unik untuk setiap perwakilan keamanan.

• Prinsip keamanan pengguna mengidentifikasi individu yang memiliki profil di ID Microsoft Entra.
• Prinsip keamanan grup mengidentifikasi sekumpulan pengguna yang dibuat di ID Microsoft Entra. Semua peran atau izin yang ditetapkan ke grup diberikan kepada semua pengguna dalam grup.
• Perwakilan layanan adalah tipe perwakilan keamanan yang mengidentifikasi aplikasi atau layanan, yang berarti sebuah kode melainkan pengguna atau grup. ID objek perwakilan layanan dikenal sebagai ID klien dan bertindak seperti nama penggunanya. Rahasia klien atau sertifikat perwakilan layanan bertindak seperti kata sandinya. Banyak Layanan Azure mendukung penetapan Identitas Terkelola dengan manajemen otomatis ID klien dan sertifikat. Identitas terkelola adalah opsi yang paling aman dan direkomendasikan untuk mengautentikasi dalam Azure.

Untuk informasi selengkapnya tentang autentikasi ke Key Vault, lihat Mengautentikasi ke Azure Key Vault.

Akses Bersyarat

Key Vault menyediakan dukungan untuk kebijakan Microsoft Entra Conditional Access. Dengan menggunakan kebijakan Akses Bersyarat, Anda dapat menerapkan kontrol akses yang tepat ke Key Vault saat diperlukan untuk menjaga keamanan organisasi Anda dan menghindari pengguna saat tidak diperlukan.

Untuk informasi selengkapnya, lihat Ringkasan Akses Bersyarat

Akses dengan hak istimewa

Otorisasi menentukan operasi mana yang dapat dijalankan oleh pemanggil. Otorisasi di Key Vault menggunakan kontrol akses berbasis peran Azure (Azure RBAC) di bidang pengelolaan dan kebijakan akses Azure Key Vault atau Azure RBAC di data plane.

Akses ke vault terjadi melalui dua antarmuka atau bidang. Kedu bidang tersebut adalah bidang manajemen dan bidang data.

• Sarana manajemen adalah tempat Anda mengelola Key Vault itu sendiri dan antarmuka yang digunakan untuk membuat dan menghapus vault. Anda juga dapat membaca properti key vault dan mengelola kebijakan akses.
• Sarana data memungkinkan Anda bekerja dengan data yang disimpan dalam brankas kunci. Anda dapat menambahkan, menghapus, dan memodifikasi kunci, rahasia, dan sertifikat.

Aplikasi mengakses sarana melalui titik akhir. Kontrol akses untuk kedua sarana bekerja secara mandiri. Untuk memberikan akses ke aplikasi untuk menggunakan kunci di brankas kunci, Anda memberikan akses data plane menggunakan kebijakan akses Key Vault atau Azure RBAC. Untuk memberi pengguna akses baca ke properti dan tag Key Vault, tetapi bukan akses data (kunci, rahasia, atau sertifikat), Anda memberi akses sarana manajemen dengan Azure RBAC.

Tabel berikut ini memperlihatkan titik akhir untuk bidang manajemen dan bidang data.

Bidang akses	Mengakses titik akhir	Operasional	Mengakses mekanisme kontrol
Manajemen plane	Global: management.azure.com:443 Microsoft Azure dioperasikan oleh 21Vianet: management.chinacloudapi.cn:443 Azure US Government management.usgovcloudapi.net:443 Azure Jerman: management.microsoftazure.de:443	Membuat, membaca, memperbarui, dan menghapus brankas kunci Menetapkan kebijakan akses Key Vault Menetapkan tag Key Vault	Azure RBAC
Pesawat data	Global: <vault-name>.vault.azure.net:443 Microsoft Azure dioperasikan oleh 21Vianet: <nama-vault>.vault.azure.net:443 Azure US Government <nama-vault>.vault.usgovcloudapi.net:443 Azure Jerman: <nama-brankas>.vault.microsoftazure.de:443	Kunci: mengenkripsi, mendekripsi, wrapKey, unwrapKey, menandatangani, memverifikasi, mendapatkan, mencantumkan, membuat, memperbarui, mengimpor, menghapus, memulihkan, memulihkan, menghapus menyeluruh, memutar (pratinjau), getrotationpolicy (pratinjau), setrotationpolicy (pratinjau), rilis(pratinjau) Sertifikat: managecontacts, getissuers, listissuers, setissuers, deleteissuers, manageissuers, mendapatkan, mendaftarkan, membuat, memperbarui, mengimpor, menghapus, mengambil, mencadangkan, memulihkan, menghapus menyeluruh Rahasia: mendapatkan, mendaftarkan, membuat, memperbarui, mengimpor, menghapus, mengambil, mencadangkan, memulihkan, menghapus menyeluruh	Kebijakan akses Key Vault atau Azure RBAC

Mengelola akses administratif ke Key Vault

Saat membuat brankas kunci di grup sumber daya, Anda mengelola akses dengan menggunakan ID Microsoft Entra. Anda memberi pengguna atau grup kemampuan untuk mengelola key vault dalam grup sumber daya. Anda dapat memberikan akses pada tingkat lingkup tertentu dengan menetapkan peran Azure yang sesuai. Untuk memberikan akses ke pengguna guna mengelola key vault, Anda menetapkan peran key vault Contributor yang telah ditentukan sebelumnya kepada pengguna pada lingkup tertentu. Tingkat cakupan berikut dapat ditetapkan ke peran Azure:

• Langganan: Peran Azure yang ditetapkan di tingkat langganan berlaku untuk semua grup sumber daya dan sumber daya dalam langganan tersebut.
• Grup sumber daya: Peran Azure yang ditetapkan di tingkat grup sumber daya berlaku untuk semua sumber daya dalam grup sumber daya tersebut.
• Sumber daya tertentu: Peran Azure yang ditetapkan untuk sumber daya tertentu berlaku untuk sumber daya tersebut. Dalam hal ini, sumber daya adalah brankas kunci tertentu.

Ada beberapa peran yang ditentukan sebelumnya. Jika peran yang telah ditentukan sebelumnya tidak sesuai dengan kebutuhan Anda, Anda dapat menentukan peran Anda sendiri. Untuk informasi selengkapnya, lihat Azure RBAC: Peran bawaan.

Penting

Saat menggunakan model izin Kebijakan Akses, pengguna dengan Contributor, Key Vault Contributor, atau peran lain yang menyertakan Microsoft.KeyVault/vaults/write izin untuk bidang manajemen brankas kunci dapat memberi diri mereka akses sarana data dengan mengatur kebijakan akses Key Vault. Untuk mencegah akses dan manajemen brankas kunci, kunci, rahasia, dan sertifikat Anda yang tidak sah, penting untuk membatasi akses peran Kontributor ke brankas kunci di bawah model izin Kebijakan Akses. Untuk mengurangi risiko ini, kami sarankan Anda menggunakan model izin Kontrol Akses Berbasis Peran (RBAC), yang membatasi manajemen izin ke peran 'Pemilik' dan 'Administrator Akses Pengguna', yang memungkinkan pemisahan yang jelas antara operasi keamanan dan tugas administratif. Lihat Panduan RBAC Key Vault dan Apa itu Azure RBAC? untuk informasi selengkapnya.

Mengontrol akses ke data Key Vault

Anda dapat mengontrol akses ke kunci, sertifikat, dan rahasia Key Vault menggunakan Azure RBAC atau kebijakan akses Key Vault.

Untuk informasi selengkapnya, lihat

• Azure RBAC untuk operasi data plane Key Vault.
• Kebijakan akses Key Vault

Pengelogan dan pemantauan

Pengelogan Key Vault menyimpan informasi tentang aktivitas yang dilakukan pada vault Anda. Untuk detail selengkapnya, lihat pencatatan Key Vault.

Anda dapat mengintegrasikan Key Vault dengan Event Grid untuk diberi tahu ketika status kunci, sertifikat, atau rahasia yang disimpan dalam brankas kunci telah berubah. Untuk detail selengkapnya, lihat: Memantau Key Vault dengan Azure Event Grid

Yang juga penting adalah memantau kesehatan key vault Anda, guna memastikan layanan Anda beroperasi sebagaimana mestinya. Untuk mempelajari cara melakukannya, lihat Memantau dan memberi tahu untuk Azure Key Vault.

Cadangan dan pemulihan

Perlindungan penghapusan menyeluruh dan sementara Azure Key Vault memungkinkan Anda untuk memulihkan vault dan objek vault yang dihapus. Untuk detail selengkapnya, lihat Gambaran umum penghapusan sementara Azure Key Vault.

Anda juga harus melakukan pencadangan vault secara berkala pada pembaruan/penghapusan/pembuatan objek dalam Vault.

Langkah berikutnya

• Garis besar keamanan Azure Key Vault
• Praktik terbaik Azure Key Vault
• Titik akhir layanan jaringan virtual untuk Azure Key Vault
• Azure RBAC: Peran bawaan