Aanbevolen procedures voor het beveiligen van beheerde HSM
Dit artikel bevat aanbevolen procedures voor het beveiligen van uw door Azure Key Vault beheerde HSM-sleutelbeheersysteem. Zie de azure Managed HSM-beveiligingsbasislijn voor een volledige lijst met aanbevelingen voor beveiliging.
Toegang tot uw beheerde HSM beheren
Beheerde HSM is een cloudservice die cryptografische sleutels beschermt. Omdat deze sleutels gevoelig en essentieel zijn voor uw bedrijf, moet u ervoor zorgen dat u uw beheerde HSM's beveiligt door alleen toegang toe te staan door geautoriseerde toepassingen en gebruikers. Beheerd HSM-toegangsbeheer biedt een overzicht van het toegangsmodel. Hierin wordt verificatie, autorisatie en op rollen gebaseerd toegangsbeheer (RBAC) uitgelegd.
Toegang tot uw beheerde HSM beheren:
- Maak een Microsoft Entra-beveiligingsgroep voor de HSM-beheerders (in plaats van de beheerdersrol toe te wijzen aan personen) om 'beheervergrendeling' te voorkomen als een afzonderlijk account wordt verwijderd.
- Vergrendel de toegang tot uw beheergroepen, abonnementen, resourcegroepen en beheerde HSM's. Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om de toegang tot uw beheergroepen, abonnementen en resourcegroepen te beheren.
- Maak roltoewijzingen per sleutel met behulp van lokale RBAC van beheerde HSM.
- Vermijd het toewijzen van meerdere rollen aan dezelfde principals om scheiding van taken te behouden.
- Gebruik het principe voor toegang met minimale bevoegdheden om rollen toe te wijzen.
- Maak een aangepaste roldefinitie met behulp van een nauwkeurige set machtigingen.
Back-ups maken
Zorg ervoor dat u regelmatig back-ups maakt van uw beheerde HSM.
U kunt back-ups maken op HSM-niveau en voor specifieke sleutels.
Schakel logboekregistratie in
Schakel logboekregistratie in voor uw HSM.
U kunt ook waarschuwingen instellen.
Schakel herstelopties in
Voorlopig verwijderen is standaard ingeschakeld. U kunt een bewaarperiode van 7 tot 90 dagen kiezen.
Schakel beveiliging tegen opschonen in om te voorkomen dat de HSM of sleutels onmiddellijk definitief worden verwijderd.
Wanneer beveiliging tegen opschonen is ingeschakeld, blijven de beheerde HSM's of sleutels in een verwijderde status totdat de bewaarperiode is beƫindigd.