Proteggere le chiavi di Azure Key Vault

Le chiavi di Azure Key Vault proteggono le chiavi crittografiche usate per le operazioni di crittografia, firme digitali e wrapping delle chiavi. Questo articolo fornisce raccomandazioni sulla sicurezza specifiche per la gestione delle chiavi crittografiche.

Annotazioni

Questo articolo è incentrato sulle procedure di sicurezza specifiche delle chiavi di Key Vault. Per indicazioni complete sulla sicurezza di Key Vault, tra cui sicurezza di rete, gestione delle identità e degli accessi e architettura dell'insieme di credenziali, vedere Proteggere Azure Key Vault.

Tipi di chiave e livelli di protezione

Azure Key Vault supporta diversi tipi di chiave con diversi livelli di protezione. Scegliere il tipo di chiave appropriato in base ai requisiti di sicurezza:

• Chiavi protette da software (RSA, EC): chiavi protette dal software convalidato FIPS 140-2 Livello 1. Adatto per la maggior parte delle applicazioni che richiedono operazioni di crittografia e firma.

• Chiavi protette da HSM (RSA-HSM, EC-HSM): chiavi protette da moduli di sicurezza hardware convalidati fips 140-2 livello 2. Consigliato per scenari di sicurezza elevata che richiedono la protezione con chiave supportata dall'hardware.

• Chiavi HSM gestite: Chiavi in pool HSM dedicati e a tenant singolo, con hardware convalidato FIPS 140-2 Livello 3. Obbligatorio per i requisiti di sicurezza e conformità più elevati.

Per altre informazioni sui tipi di chiave, vedere Informazioni sulle chiavi di Azure Key Vault.

Utilizzo e operazioni principali

Limitare le operazioni chiave solo a quelle necessarie per ridurre al minimo la superficie di attacco dell'applicazione:

• Limitare le operazioni relative alle chiavi: concedere solo le autorizzazioni necessarie (crittografare, decrittografare, firmare, verificare, wrapKey, unwrapKey)
• Usare le dimensioni delle chiavi appropriate:
  • Chiavi RSA: usare un minimo di 2048 bit, 4096 bit per scenari di sicurezza elevata
  • Chiavi EC: usare curve P-256, P-384 o P-521 in base ai requisiti di sicurezza
• Chiavi separate per scopo: usare chiavi diverse per le operazioni di crittografia e firma per limitare l'impatto se una chiave viene compromessa

Per ulteriori informazioni sulle operazioni delle chiavi, vedere Operazioni delle chiavi in Key Vault.

Rotazione delle chiavi e controllo delle versioni

Implementare una rotazione regolare delle chiavi per limitare l'esposizione dalle chiavi compromesse:

• Abilitare la rotazione automatica delle chiavi: configurare i criteri di rotazione automatica per ruotare le chiavi senza tempi di inattività dell'applicazione. Consultare Configurare l'autorotazione della chiave
• Impostare la frequenza di rotazione: ruotare le chiavi di crittografia almeno ogni anno o più frequentemente in base ai requisiti di conformità
• Usare il controllo delle versioni delle chiavi: Key Vault aggiorna automaticamente le chiavi, consentendo una rotazione fluida senza compromettere i dati crittografati esistenti
• Pianificare la nuova crittografia: per i dati a lungo termine, implementare strategie per crittografare nuovamente i dati con nuove versioni delle chiavi

Per altre informazioni sulla rotazione, vedere Configurare l'autorotazione della chiave crittografica in Azure Key Vault.

Backup e ripristino delle chiavi

Proteggersi dalla perdita di dati implementando procedure di backup e ripristino appropriate:

• Abilita eliminazione temporanea: l'eliminazione temporanea consente il ripristino delle chiavi eliminate entro un periodo di conservazione (7-90 giorni). Vedere Panoramica dell'eliminazione temporanea di Azure Key Vault
• Abilitare la protezione dall'eliminazione: impedisce l'eliminazione permanente delle chiavi durante il periodo di conservazione. Vedere Protezione dalla rimozione
• Backup delle chiavi critiche: esportare e archiviare in modo sicuro i backup delle chiavi che proteggono i dati insostituibili. Vedere Backup di Azure Key Vault
• Procedure di ripristino dei documenti: Mantenere i runbook per scenari chiave di ripristino

Bring Your Own Key (BYOK)

Quando si importano chiavi personalizzate in Key Vault, seguire le procedure consigliate per la sicurezza:

• Usare la generazione di chiavi sicure: generare chiavi in Moduli di Protezione Hardware conformi a FIPS 140-2 Livello 2 o superiore
• Proteggere le chiavi durante il trasferimento: usare il processo BYOK di Key Vault per trasferire in modo sicuro le chiavi. Vedere Importare chiavi con protezione HSM in Key Vault (BYOK)
• Convalidare l'importazione della chiave: verificare gli attributi e le autorizzazioni della chiave dopo l'importazione
• Mantenere la provenienza della chiave: documentare l'origine e il metodo di trasferimento delle chiavi importate

Per altre informazioni su BYOK, vedere Importare chiavi protette da HSM per Key Vault.

Rilascio e attestazione della chiave

Per gli scenari che richiedono il rilascio della chiave in ambienti attendibili:

• Usare i criteri di rilascio delle chiavi: configurare i criteri di rilascio basati sull'attestazione per controllare quando le chiavi possono essere rilasciate da Key Vault
• Verificare l'attestazione: assicurarsi che gli ambienti richiedenti forniscano un'attestazione valida prima del rilascio delle chiavi
• Controlla le versioni chiave: Monitorare e registrare tutte le operazioni di rilascio chiave

Per altre informazioni sulla versione della chiave, vedere Rilascio della chiave di Azure Key Vault.

Monitoraggio e controllo

Tenere traccia dell'utilizzo delle chiavi per rilevare l'accesso non autorizzato o i modelli sospetti:

• Abilitare la registrazione diagnostica: registrare tutte le operazioni chiave per l'analisi della sicurezza. Vedere Registrazione di Azure Key Vault
• Monitorare le operazioni sulle chiavi: tenere traccia delle operazioni di crittografia, decrittografia, firma e verifica per stabilire modelli di utilizzo di base
• Configurare gli avvisi: configurare gli avvisi di Monitoraggio di Azure per:
  • Modelli di accesso chiave insoliti
  • Operazioni chiave non riuscite
  • Eliminazioni o modifiche delle chiavi
  • Chiave in scadenza

Vedere Monitoraggio e avvisi per Azure Key Vault.

Scadenza della chiave

Impostare le date di scadenza per le chiavi quando appropriato:

• Impostare la scadenza per le chiavi temporanee: le chiavi usate per scopi limitati a tempo devono avere date di scadenza
• Monitorare le chiavi in scadenza: usare le notifiche di Griglia di eventi per avvisare prima della scadenza delle chiavi. Vedere Azure Key Vault come origine di Griglia di eventi
• Automatizzare il rinnovo delle chiavi: implementare processi automatizzati per ruotare le chiavi prima della scadenza

Articoli sulla sicurezza correlati

• Proteggi il tuo Azure Key Vault - Linee guida complete per la sicurezza di Azure Key Vault
• Proteggere i segreti di Azure Key Vault - Procedure consigliate per la sicurezza per i segreti
• Proteggere i certificati di Azure Key Vault - Procedure consigliate per la sicurezza per i certificati

Passaggi successivi

• Informazioni sulle chiavi di Azure Key Vault
• Configurare l'autorotazione della chiave crittografica in Azure Key Vault
• Guida per gli sviluppatori per Azure Key Vault