Delen via


Azure-beveiligingsbasislijn voor Key Vault

Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmark versie 1.0 toe op Key Vault. De Microsoft Cloud Security-benchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Key Vault.

U kunt deze beveiligingsbasislijn en de bijbehorende aanbevelingen bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de pagina Microsoft Defender voor cloudportal.

Wanneer een functie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen bij het meten van de naleving van de besturingselementen en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.

Notitie

Functies die niet van toepassing zijn op Key Vault zijn uitgesloten. Als u wilt zien hoe Key Vault volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige Key Vault toewijzingsbestand voor beveiligingsbasislijnen.

Beveiligingsprofiel

Het beveiligingsprofiel bevat een overzicht van gedrag met een hoge impact van Key Vault, wat kan leiden tot verhoogde beveiligingsoverwegingen.

Kenmerk servicegedrag Waarde
Productcategorie Beveiliging
Klant heeft toegang tot HOST/besturingssysteem Geen toegang
Service kan worden geïmplementeerd in het virtuele netwerk van de klant Waar
Inhoud van klanten in rust opgeslagen Waar

Netwerkbeveiliging

Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.

NS-1: netwerksegmentatiegrenzen vaststellen

Functies

Integratie van virtueel netwerk

Beschrijving: service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Azure Key Vault ondersteunt service-eindpunten voor virtuele netwerken, waarmee u de toegang van de sleutelkluis tot een opgegeven virtueel netwerk kunt beperken.

Naslaginformatie: Azure Key Vault Network Security

Ondersteuning voor netwerkbeveiligingsgroepen

Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen in de subnetten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik netwerkbeveiligingsgroepen (NSG) om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de open poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het binnenkomende verkeer weigeren, maar verkeer van een virtueel netwerk en Azure Load Balancers toestaan.

NS-2: Cloudservices beveiligen met netwerkbesturing

Functies

Beschrijving: Serviceeigen IP-filtermogelijkheid voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: privé-eindpunten implementeren voor Azure Key Vault om een privétoegangspunt voor de resources tot stand te brengen.

Naslaginformatie: Azure Key Vault Private Link

Openbare netwerktoegang uitschakelen

Beschrijving: De service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: schakel openbare netwerktoegang uit met behulp van de IP-filterregels van Azure Key Vault firewall.

Naslaginformatie: Azure Key Vault-netwerkbeveiliging

Microsoft Defender voor cloudbewaking

Azure Policy ingebouwde definities - Microsoft.KeyVault:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Firewall moet zijn ingeschakeld voor Azure Key Vault Schakel de firewall van de sleutelkluis in zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie op: https://docs.microsoft.com/azure/key-vault/general/network-security Controleren, Weigeren, Uitgeschakeld 3.2.1

Identiteitsbeheer

Zie de Microsoft Cloud Security Benchmark: Identity management (Identiteitsbeheer) voor meer informatie.

IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken

Functies

Azure AD verificatie vereist voor toegang tot gegevensvlak

Beschrijving: de service ondersteunt het gebruik van Azure AD verificatie voor toegang tot het gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Naslaginformatie: Azure Key Vault-verificatie

Lokale verificatiemethoden voor toegang tot gegevensvlak

Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

IM-3: toepassingsidentiteiten veilig en automatisch beheren

Functies

Beheerde identiteiten

Beschrijving: gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Gebruik indien mogelijk beheerde Azure-identiteiten in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Referenties voor beheerde identiteiten worden volledig beheerd, geroteerd en beveiligd door het platform, waarbij in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.

Naslaginformatie: Azure Key Vault-verificatie

Service-principals

Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Aanvullende richtlijnen: het wordt aanbevolen om beheerde identiteiten te gebruiken in plaats van service-principals. Wanneer service-principals moeten worden gebruikt, beperkt u het gebruik tot scenario's waarin niet-gebruikerstoegang is vereist en beheerde identiteiten niet worden ondersteund, zoals automatiseringsstromen of systeemintegraties van derden.

Naslaginformatie: Azure Key Vault-verificatie

IM-7: toegang tot resources beperken op basis van voorwaarden

Functies

Voorwaardelijke toegang voor gegevensvlak

Beschrijving: toegang tot gegevensvlakken kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksscenario's, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.

Naslaginformatie: voorwaardelijke toegang van Azure Key Vault

IM-8: beperk de blootstelling van referenties en geheimen

Functies

Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault

Beschrijving: gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: zorg ervoor dat geheimen en referenties worden opgeslagen op beveiligde locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden.

Naslaginformatie: Over Azure Key Vault geheimen

Bevoegde toegang

Zie microsoft cloud security benchmark: Privileged access (Microsoft Cloud Security Benchmark: Bevoegde toegang) voor meer informatie.

PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten

Functies

Lokale Beheer-accounts

Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

PA-7: Volg het principe just enough administration (least privilege)

Functies

Azure RBAC voor gegevensvlak

Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om toegang tot Azure-resources te beheren via ingebouwde roltoewijzingen. Azure RBAC-rollen kunnen worden toegewezen aan gebruikers, groepen, service-principals en beheerde identiteiten.

Naslaginformatie: Azure Key Vault RBAC-ondersteuning

Gegevensbescherming

Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbescherming voor meer informatie.

DP-3: Gevoelige gegevens tijdens overdracht versleutelen

Functies

Gegevens-in-transitversleuteling

Beschrijving: de service ondersteunt versleuteling van gegevens-in-transit voor gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Aanvullende richtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit wordt beheerd door Het Azure-platform

Naslaginformatie: Azure Key Vault-beveiligingsfuncties

DP-4: Versleuteling van data-at-rest standaard inschakelen

Functies

Data-at-rest-versleuteling met behulp van platformsleutels

Beschrijving: Versleuteling van gegevens in rust met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Naslaginformatie: Azure Key Vault veilige opslag van geheimen en sleutels

DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig

Functies

Data-at-rest-versleuteling met CMK

Beschrijving: Versleuteling van inactieve gegevens met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: In Azure Key Vault slaat u uw sleutels op voor CMK-versleuteling (door de klant beheerde sleutels). U hebt de optie om met software beveiligde sleutels of met HSM (hardwarebeveiligingsmodule) beveiligde sleutels te gebruiken voor uw CMK-oplossing.

Opmerking: raadpleeg voor door de klant beheerde sleutel en HSM-gegevens: https://techcommunity.microsoft.com/t5/azure-confidential-computing/azure-key-vault-managed-hsm-control-your-data-in-the-cloud/ba-p/3359310

Naslaginformatie: Azure Key Vault veilige opslag van geheimen en sleutels

DP-6: Een beveiligd sleutelbeheerproces gebruiken

Functies

Sleutelbeheer in Azure Key Vault

Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: volg de best practices van Azure Key Vault om de levenscyclus van uw sleutel veilig te beheren in de sleutelkluis. Dit omvat het genereren, distribueren, opslaan, roteren en intrekken van sleutels.

Naslaginformatie: Azure Key Vault-sleutelbeheer

Microsoft Defender voor cloudbewaking

Azure Policy ingebouwde definities - Microsoft.KeyVault:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Key Vault-sleutels moeten een vervaldatum hebben Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen. Controleren, Weigeren, Uitgeschakeld 1.0.2

DP-7: Een beveiligd certificaatbeheerproces gebruiken

Functies

Certificaatbeheer in Azure Key Vault

Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Volg de best practice van Azure Key Vault om de levenscyclus van uw certificaat veilig te beheren in de sleutelkluis. Dit omvat het maken/importeren van de sleutel, het draaien, intrekken, opslaan en opschonen van het certificaat.

Naslaginformatie: Azure Key Vault-certificaatbeheer

Microsoft Defender voor cloudbewaking

Azure Policy ingebouwde definities - Microsoft.KeyVault:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Certificaten moeten de opgegeven maximale geldigheidsperiode hebben Beheer de nalevingsvereisten van uw organisatie door de maximale tijdsduur op te geven waarbij een certificaat binnen uw sleutel kluis geldig mag zijn. audit, Audit, Deny, Deny, Disabled, Disabled 2.2.1

Asset-management

Zie de Microsoft Cloud Security Benchmark: Asset management voor meer informatie.

AM-2: Alleen goedgekeurde services gebruiken

Functies

Ondersteuning voor Azure Policy

Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-Key Vault te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen voor Azure-resources.

Naslaginformatie: Azure Key Vault-beleid

Logboekregistratie en bedreidingsdetectie

Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: mogelijkheden voor detectie van bedreigingen inschakelen

Functies

Microsoft Defender voor service/productaanbod

Beschrijving: de service biedt een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: schakel Microsoft Defender in voor Key Vault wanneer u een waarschuwing krijgt van Microsoft Defender voor Key Vault, de waarschuwing onderzoeken en erop reageren.

Naslaginformatie: Microsoft Defender voor Azure Key Vault

LT-4: logboekregistratie inschakelen voor beveiligingsonderzoek

Functies

Azure-resourcelogboeken

Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: schakel resourcelogboeken in voor uw sleutelkluis. Resourcelogboeken voor Azure Key Vault kunt activiteiten voor sleutelbewerkingen vastleggen, zoals het maken, ophalen en verwijderen van sleutels.

Naslaginformatie: Logboekregistratie van Azure Key Vault

Back-ups maken en herstellen

Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.

BR-1: Zorgen voor regelmatige geautomatiseerde back-ups

Functies

Azure Backup

Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Systeemeigen back-upmogelijkheid van service

Beschrijving: de service ondersteunt de eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Aanvullende richtlijnen: Gebruik azure Key Vault systeemeigen back-upfunctie om een back-up te maken van uw geheimen, sleutels en certificaten en ervoor te zorgen dat de service kan worden hersteld met behulp van de back-upgegevens.

Naslaginformatie: Back-up van Azure Key Vault

Volgende stappen