Procedure consigliate per l'uso del modulo di protezione hardware gestito

Controllare l'accesso al modulo di protezione hardware gestito

Il modulo di protezione hardware gestito è un servizio cloud che protegge le chiavi di crittografia. Poiché queste chiavi sono sensibili e business critical, assicurarsi di proteggere l'accesso alle macchine virtuali gestite consentendo solo applicazioni e utenti autorizzati. Questo articolo offre una panoramica del modello di accesso. Spiega l'autenticazione e l'autorizzazione e il controllo degli accessi in base al ruolo.

  • Creare un gruppo di sicurezza di Azure Active Directory per gli amministratori HSM anziché assegnare il ruolo amministratore a singoli utenti. In questo modo verrà impedito il blocco dell'amministrazione in caso di eliminazione di singoli account.
  • Bloccare l'accesso ai gruppi di gestione, alle sottoscrizioni, ai gruppi di risorse e alle macchine virtuali gestite - Usare il controllo degli accessi in base al ruolo di Azure per controllare l'accesso ai gruppi di gestione, alle sottoscrizioni e ai gruppi di risorse
  • Creare assegnazioni per ruolo chiave usando il controllo degli accessi in base al ruolo locale gestito.
  • Per mantenere la separazione dei compiti, evitare di assegnare più ruoli a stesse entità.
  • Usare l'entità di accesso con privilegi minimi per assegnare ruoli.
  • Creare una definizione di ruolo personalizzata con un set preciso di autorizzazioni.

Scegliere aree che supportano le zone di disponibilità

  • Per garantire la migliore disponibilità elevata e resilienza della zona, scegliere aree di Azure in cui sono supportate zone di disponibilità. Queste aree vengono visualizzate come "Aree consigliate" nella portale di Azure.

Backup

  • Assicurarsi di eseguire backup regolari del modulo di protezione hardware. I backup possono essere eseguiti a livello di HSM e per chiavi specifiche.

Abilitare la registrazione

Attivare le opzioni di ripristino

  • L'eliminazione temporanea è attiva per impostazione predefinita. È possibile scegliere un periodo di conservazione compreso tra 7 e 90 giorni.
  • Attivare la protezione di eliminazione per impedire l'eliminazione immediata di HSM o chiavi. Quando la protezione dell'eliminazione è in HSM o chiavi rimarrà nello stato eliminato fino al superamento dei giorni di conservazione.

Generare e importare chiavi da HSM locale

Nota

Le chiavi create o importate in Managed HSM non sono esportabili.

  • Per garantire la portabilità a lungo termine e la durabilità delle chiavi, generare chiavi nel modulo di protezione hardware locale e importarle nel modulo di protezione hardware gestito. È disponibile una copia della chiave archiviata in modo sicuro nel modulo di protezione hardware locale per un uso futuro.

Passaggi successivi