Keamanan Azure Key Vault
Azure Key Vault melindungi kunci kriptografi, sertifikat (dan kunci privat yang terkait dengan sertifikat), dan rahasia (seperti string koneksi dan kata sandi) di cloud. Namun, saat menyimpan data sensitif dan penting bagi bisnis, Anda harus mengambil langkah-langkah untuk memaksimalkan keamanan vault Anda dan data yang disimpan di dalamnya.
Keamanan jaringan
Anda dapat mengurangi paparan vault Anda dengan menentukan alamat IP mana yang memiliki akses ke vault tersebut. Titik akhir layanan jaringan virtual untuk Azure Key Vault memungkinkan Anda membatasi akses ke jaringan virtual tertentu. Titik akhir juga memungkinkan Anda membatasi akses ke daftar rentang alamat IPv4 (protokol internet versi 4). Setiap pengguna yang terhubung ke brankas kunci Anda dari luar sumber tersebut ditolak aksesnya.
Setelah aturan firewall berlaku, pengguna hanya dapat membaca data dari Key Vault ketika permintaan mereka berasal dari jaringan virtual yang diizinkan atau rentang alamat IPv4. Ini juga berlaku untuk mengakses Key Vault dari portal Microsoft Azure. Meskipun pengguna dapat menelusuri ke brankas kunci dari portal Microsoft Azure, mereka mungkin tidak dapat mencantumkan kunci, rahasia, atau sertifikat jika komputer klien mereka tidak ada dalam daftar yang diizinkan.
Azure Private Link Service memungkinkan Anda mengakses Azure Key Vault dan layanan pelanggan/mitra yang dihosting Azure melalui Titik Akhir Privat di jaringan virtual Anda. Titik Akhir Privat Azure adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat menggunakan alamat IP privat dari VNet Anda, secara efektif membawa layanan ke VNet Anda. Semua lalu lintas ke layanan dapat dirutekan melalui titik akhir privat, sehingga tidak ada gateway, perangkat Network address translation (NAT), koneksi ExpressRoute atau VPN, atau alamat IP publik yang diperlukan. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda dapat terhubung ke instans sumber daya Azure, memberi Anda tingkat granularitas tertinggi dalam kontrol akses.
Keamanan Transport Layer (TLS) dan Hypertext Transfer Protocol Secure (HTTPS)
Ujung depan Key Vault (bidang data) adalah server multipenyewa. Ini berarti bahwa brankas kunci dari pelanggan yang berbeda dapat berbagi alamat IP publik yang sama. Untuk mencapai isolasi, setiap permintaan HTTP diautentikasi dan diotorisasi secara independen dari permintaan lain.
Protokol HTTPS memungkinkan klien untuk berpartisipasi dalam negosiasi TLS. Klien dapat memberlakukan versi TLS, dan setiap kali klien melakukannya, seluruh koneksi akan menggunakan perlindungan tingkat yang sesuai. Key Vault mendukung versi protokol TLS 1.2 dan 1.3.
Opsi autentikasi untuk Key Vault
Saat Anda membuat brankas kunci di langganan Azure, brankas tersebut secara otomatis dikaitkan dengan tenant Microsoft Entra pada langganan tersebut. Semua pemanggil di kedua pesawat harus mendaftar di tenant ini dan mengotentikasi untuk akses brankas kunci. Dalam kedua kasus, aplikasi dapat mengakses Key Vault dengan tiga cara:
- Khusus aplikasi: Aplikasi mewakili perwakilan layanan atau identitas terkelola. Identitas ini adalah skenario paling umum untuk aplikasi yang secara berkala perlu mengakses sertifikat, kunci, atau rahasia dari brankas kunci. Agar skenario ini berfungsi, objectId aplikasi harus ditentukan dalam kebijakan akses dan applicationId tidak boleh ditentukan atau harus null.
- Hanya untuk pengguna: Pengguna mengakses gudang kunci dari aplikasi apa pun yang terdaftar di penyewa cloud. Contoh jenis akses ini termasuk Azure PowerShell dan portal Azure. Agar skenario ini berfungsi, objectId pengguna harus ditentukan dalam kebijakan akses dan applicationId tidak boleh ditentukan atau harus null.
- Application-plus-user (terkadang disebut sebagai identitas majemuk): Pengguna diperlukan untuk mengakses brankas kunci dari aplikasi tertentu dan aplikasi harus menggunakan alur autentikasi atas nama (OBO) untuk meniru pengguna. Agar skenario ini berfungsi, applicationId dan objectId harus ditentukan dalam kebijakan akses. applicationId mengidentifikasi aplikasi yang diperlukan dan objectId mengidentifikasi pengguna. Saat ini, opsi ini tidak tersedia untuk data plane Azure RBAC.
Di semua jenis akses, aplikasi mengautentikasi dengan ID Microsoft Entra. Aplikasi ini menggunakan metode autentikasi yang didukung berdasarkan jenis aplikasi. Aplikasi memperoleh token untuk sumber daya di platform guna memberikan akses. Sumber daya adalah titik akhir dalam manajemen atau bidang data, berdasarkan lingkungan Azure. Aplikasi ini menggunakan token dan mengirim permintaan REST API ke Key Vault.
Model mekanisme tunggal untuk autentikasi ke kedua lapisan memiliki beberapa manfaat.
- Organisasi dapat mengontrol akses secara terpusat ke semua brankas kunci di organisasi mereka.
- Jika pengguna pergi, mereka langsung kehilangan akses ke semua brankas kunci di organisasi.
- Organisasi dapat menyesuaikan autentikasi dengan menggunakan opsi di ID Microsoft Entra, seperti mengaktifkan autentikasi multifaktor untuk keamanan tambahan.
Gambaran umum model akses
Akses ke brankas kunci dikontrol melalui dua antarmuka: bidang manajemen dan bidang data. Bidang manajemen adalah tempat Anda mengelola Key Vault itu sendiri. Operasi pada tingkat ini termasuk membuat dan menghapus Key Vault, memperoleh properti Key Vault, dan memperbarui kebijakan akses. Sarana data adalah tempat Anda bekerja dengan data yang disimpan dalam brankas kunci. Anda dapat menambahkan, menghapus, dan memodifikasi kunci, rahasia, dan sertifikat.
Kedua pesawat menggunakan ID Microsoft Entra untuk autentikasi. Untuk otorisasi, bidang manajemen menggunakan kontrol akses berbasis peran Azure (Azure RBAC) dan bidang data menggunakan kebijakan akses Key Vault dan Azure RBAC untuk operasi sarana data Key Vault.
Untuk mengakses brankas kunci di salah satu lingkungan, semua pihak yang mengakses (pengguna atau aplikasi) harus memiliki autentikasi dan otorisasi yang tepat. Autentikasi menetapkan identitas pemanggil. Otorisasi menentukan operasi mana yang dapat dijalankan oleh pemanggil. Autentikasi dengan Key Vault berfungsi bersama dengan ID Microsoft Entra, yang bertanggung jawab untuk mengautentikasi identitas perwakilan keamanan tertentu.
Prinsipal keamanan adalah objek yang mewakili pengguna, grup, layanan, atau aplikasi yang meminta akses ke sumber daya Azure. Azure menetapkan ID objek unik untuk setiap prinsip keamanan.
- Prinsip keamanan pengguna mengidentifikasi individu yang memiliki profil di ID Microsoft Entra.
- Prinsip keamanan grup mengidentifikasi sekumpulan pengguna yang dibuat di ID Microsoft Entra. Peran atau izin apa pun yang ditetapkan ke grup diberikan kepada semua pengguna dalam grup.
- Entitas layanan adalah jenis entitas keamanan yang mengidentifikasi aplikasi atau layanan, yang berarti, sepotong kode daripada pengguna atau grup. ID objek prinsipal layanan dikenal sebagai ID kliennya dan bertindak seperti nama penggunanya. Rahasia atau sertifikat klien perwakilan layanan bertindak seperti kata sandinya. Banyak Layanan Azure mendukung penetapan Identitas Terkelola dengan manajemen otomatis ID klien dan sertifikat. Identitas terkelola adalah opsi yang paling aman dan direkomendasikan untuk mengautentikasi dalam Azure.
Akses bersyarat
Key Vault menyediakan dukungan untuk kebijakan Microsoft Entra Conditional Access. Dengan menggunakan kebijakan Akses Bersyarat, Anda dapat menerapkan kontrol akses yang tepat ke Key Vault saat diperlukan untuk menjaga keamanan organisasi Anda dan tidak mengganggu pengguna ketika tidak diperlukan.
Akses istimewa
Otorisasi menentukan operasi mana yang dapat dijalankan oleh pemanggil. Otorisasi di Key Vault menggunakan kontrol akses berbasis peran Azure (Azure RBAC) pada bidang manajemen dan kebijakan akses Azure RBAC atau Azure Key Vault pada bidang data.
Akses ke vault terjadi melalui dua antarmuka atau lapisan. Lapisan-lapisan ini adalah lapisan manajemen dan lapisan data.
- bidang manajemen adalah tempat Anda mengelola Key Vault itu sendiri dan antarmukanya digunakan untuk membuat dan menghapus vault. Anda juga dapat membaca properti brankas kunci dan mengelola kebijakan akses.
- Sarana data memungkinkan Anda bekerja dengan data yang disimpan dalam brankas kunci. Anda dapat menambahkan, menghapus, dan memodifikasi kunci, rahasia, dan sertifikat.
Aplikasi mengakses lapisan melalui titik akhir. Kontrol akses untuk dua lapisan bekerja secara independen. Untuk memberikan akses kepada aplikasi untuk menggunakan kunci dalam brankas kunci, Anda dapat memberikan akses ke data plane menggunakan kebijakan akses Key Vault atau Azure RBAC. Untuk memberikan akses baca pengguna ke properti dan tag Key Vault, tetapi tidak mengakses data (kunci, rahasia, atau sertifikat), Anda memberikan akses sarana manajemen dengan Azure RBAC.
| Lapisan akses | Titik akhir akses | Operasi | Mekanisme kontrol akses |
|---|---|---|---|
| Lapisan manajemen | Global: management.azure.com:443 Microsoft Azure dioperasikan oleh 21Vianet: management.chinacloudapi.cn:443 Azure Pemerintah AS management.usgovcloudapi.net:443 Azure Jerman: management.microsoftazure.de:443 |
Membuat, membaca, memperbarui, dan menghapus penyimpanan kunci Menetapkan kebijakan akses Key Vault Menetapkan tag Key Vault |
Azure RBAC |
| Bidang data | Global: <vault-name.vault.azure.net:443> Microsoft Azure dioperasikan oleh 21Vianet: <vault-name.vault.azure.cn:443> Azure Pemerintah AS <nama-vault>.vault.usgovcloudapi.net:443 Azure Jerman: <nama vault>.vault.microsoftazure.de:443 |
Kunci: mengenkripsi, mendekripsi, wrapKey, unwrapKey, menandatangani, memverifikasi, mendapatkan, mencantumkan, membuat, memperbarui, mengimpor, menghapus, memulihkan, memulihkan, menghapus menyeluruh, memutar (pratinjau), getrotationpolicy (pratinjau), setrotationpolicy (pratinjau), rilis(pratinjau) Sertifikat: mengelola kontak, mendapatkan penerbit, mencantumkan penerbit, mengatur penerbit, menghapus penerbit, mengelola penerbit, mendapatkan, mencantumkan, membuat, mengimpor, memperbarui, menghapus, memulihkan, mencadangkan, memulihkan, membersihkan Rahasia: dapatkan, tampilkan, atur, hapus, pulihkan, cadangkan, kembalikan, hapus permanen |
Kebijakan akses Key Vault atau Azure RBAC |
Mengelola akses administratif ke Key Vault
Saat membuat brankas kunci di grup sumber daya, Anda mengelola akses dengan menggunakan ID Microsoft Entra. Anda memberi pengguna atau grup kemampuan untuk mengelola brankas kunci (key vault) dalam grup sumber daya. Anda dapat memberikan akses pada tingkat cakupan tertentu dengan menetapkan peran Azure yang sesuai. Untuk memberikan akses ke pengguna untuk mengelola brankas kunci, Anda menetapkan peran Kontributor brankas kunci yang telah ditentukan sebelumnya kepada pengguna pada cakupan tertentu. Tingkat cakupan berikut dapat ditetapkan ke peran Azure:
- Langganan: Peran Azure yang ditetapkan di tingkat langganan berlaku untuk semua grup sumber daya dan sumber daya dalam langganan tersebut.
- Grup sumber daya: Peran Azure yang ditetapkan di tingkat grup sumber daya berlaku untuk semua sumber daya dalam grup sumber daya tersebut.
- Sumber daya tertentu: Peran Azure yang ditetapkan untuk sumber daya tertentu berlaku untuk sumber daya tersebut. Dalam hal ini, sumber daya adalah tempat penyimpanan kunci tertentu.
Saat menggunakan model izin Kebijakan Akses, jika pengguna memiliki izin Contributor ke lapisan manajemen brankas kunci, pengguna dapat memberi diri sendiri akses ke lapisan data dengan mengatur kebijakan akses untuk Key Vault. Anda harus mengontrol secara ketat siapa yang memiliki akses ke peran Contributor ke brankas kunci Anda dengan model izin Kebijakan Akses untuk memastikan bahwa hanya orang yang berwenang yang dapat mengakses dan mengelola brankas kunci Anda, kunci-kunci, rahasia-rahasia, dan sertifikat-sertifikat Anda. Disarankan untuk menggunakan model izin Kontrol Akses Berbasis Peran (RBAC) baru untuk menghindari masalah ini. Dengan model izin RBAC, manajemen izin terbatas pada peran 'Pemilik' dan 'Administrator Akses Pengguna', yang memungkinkan pemisahan tugas antara peran untuk operasi keamanan dan operasi administratif umum.
Mengontrol akses ke data Key Vault
Anda dapat mengontrol akses ke kunci, sertifikat, dan rahasia Key Vault menggunakan kebijakan akses Azure RBAC atau Key Vault.
Pencatatan dan pemantauan
Pengelogan Key Vault menyimpan informasi tentang aktivitas yang dilakukan di vault Anda.
Anda dapat mengintegrasikan Key Vault dengan Event Grid untuk diberi tahu saat status kunci, sertifikat, atau rahasia yang disimpan di brankas kunci telah berubah.
Penting juga untuk memantau kesehatan brankas kunci Anda, untuk memastikan layanan Anda beroperasi seperti yang dimaksudkan.
Pencadangan dan pemulihan
Perlindungan penghapusan sementara dan penghapusan menyeluruh Azure Key Vault memungkinkan Anda memulihkan vault dan objek vault yang dihapus.
Anda juga harus melakukan cadangan rutin Vault Anda ketika memperbarui, menghapus, atau membuat objek dalam Vault.