Szyfrowanie i zarządzanie kluczami na platformie Azure

Szyfrowanie to ważny krok w kierunku zapewnienia prywatności danych, zgodności i rezydencji danych na platformie Microsoft Azure. Jest to również jedna z najważniejszych kwestii związanych z bezpieczeństwem wielu przedsiębiorstw. W tej sekcji opisano zagadnienia dotyczące projektowania i zalecenia dotyczące szyfrowania i zarządzania kluczami.

Uwagi dotyczące projektowania

• Ustawianie limitów subskrypcji i skalowania w miarę ich stosowania do usługi Azure Key Vault.

  Usługa Key Vault ma limity transakcji dla kluczy i wpisów tajnych. Aby ograniczyć liczbę transakcji na magazyn przez określony okres czasu, zobacz Limity platformy Azure.

  Usługa Key Vault obsługuje granicę zabezpieczeń, ponieważ uprawnienia dostępu do kluczy, wpisów tajnych i certyfikatów znajdują się na poziomie magazynu. Przypisania zasad dostępu usługi Key Vault przyznają uprawnienia oddzielnie kluczom, wpisom tajnym lub certyfikatom. Nie obsługują szczegółowych uprawnień na poziomie obiektu, takich jak określony klucz, wpis tajny lub zarządzanie kluczami certyfikatów.

• Izolowanie wpisów tajnych specyficznych dla aplikacji i udostępnionych wpisów tajnych specyficznych dla aplikacji, w razie potrzeby, w celu kontrolowania dostępu.

• Zoptymalizuj jednostki SKU w warstwie Premium, w których wymagane są klucze chronione przez moduł HSM (sprzętowy moduł zabezpieczeń).

  Podstawowe moduły HSM są zgodne ze standardem FIPS 140–2 poziom 2. Zarządzanie dedykowanym modułem HSM platformy Azure na potrzeby zgodności ze standardem FIPS 140–2 poziom 3, biorąc pod uwagę obsługiwane scenariusze.

• Zarządzanie rotacją kluczy i wygaśnięciem wpisu tajnego.

• Użyj certyfikatów usługi Key Vault do zarządzania zakupami certyfikatów i podpisywaniem. Ustaw alerty, powiadomienia i automatyczne odnawianie certyfikatów.

• Ustaw wymagania dotyczące odzyskiwania po awarii dla kluczy, certyfikatów i wpisów tajnych.

• Ustaw możliwości replikacji usługi Key Vault i trybu failover. Ustaw dostępność i nadmiarowość.

• Monitorowanie użycia klucza, certyfikatu i wpisu tajnego.

  Wykrywanie nieautoryzowanego dostępu przy użyciu magazynu kluczy lub obszaru roboczego usługi Azure Monitor Log Analytics. Aby uzyskać więcej informacji, zobacz Monitorowanie i alerty dotyczące usługi Azure Key Vault.

• Delegowanie wystąpienia usługi Key Vault i uprzywilejowanego dostępu. Aby uzyskać więcej informacji, zobacz Zabezpieczenia usługi Azure Key Vault.

• Ustaw wymagania dotyczące używania kluczy zarządzanych przez klienta dla natywnych mechanizmów szyfrowania, takich jak szyfrowanie usługi Azure Storage:

  • Klucze zarządzane przez klienta
  • szyfrowanie KtoTo le-disk dla maszyn wirtualnych
  • Szyfrowanie danych przesyłanych
  • Szyfrowanie danych magazynowanych

Zalecenia dotyczące projektowania

• Użyj modelu federacyjnego usługi Azure Key Vault, aby uniknąć limitów skalowania transakcji.

• Kontrola dostępu oparta na rolach platformy Azure to zalecany system autoryzacji dla płaszczyzny danych usługi Azure Key Vault. Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach (RBAC) platformy Azure a zasady dostępu (starsza wersja).

• Aprowizuj usługę Azure Key Vault przy użyciu zasad usuwania nietrwałego i przeczyszczania, aby umożliwić ochronę przechowywania usuniętych obiektów.

• Postępuj zgodnie z modelem z najmniejszymi uprawnieniami, ograniczając autoryzację do trwałego usuwania kluczy, wpisów tajnych i certyfikatów do wyspecjalizowanych niestandardowych ról firmy Microsoft Entra.

• Automatyzacja procesu zarządzania certyfikatami i odnawiania za pomocą publicznych urzędów certyfikacji w celu ułatwienia administrowania.

• Ustanów zautomatyzowany proces rotacji kluczy i certyfikatów.

• Włącz punkty końcowe usługi zapory i sieci wirtualnej w magazynie, aby kontrolować dostęp do magazynu kluczy.

• Użyj centralnego obszaru roboczego usługi Log Analytics usługi Azure Monitor do inspekcji użycia klucza, certyfikatu i wpisu tajnego w każdym wystąpieniu usługi Key Vault.

• Deleguj wystąpienie usługi Key Vault i uprzywilejowany dostęp oraz użyj usługi Azure Policy, aby wymusić spójną konfigurację zgodną.

• Domyślnie klucze zarządzane przez firmę Microsoft dla funkcji szyfrowania podmiotu zabezpieczeń i używaj kluczy zarządzanych przez klienta, jeśli jest to wymagane.

• Nie używaj scentralizowanych wystąpień usługi Key Vault dla kluczy aplikacji ani wpisów tajnych.

• Aby uniknąć udostępniania wpisów tajnych w środowiskach, nie udostępniaj wystąpień usługi Key Vault między aplikacjami.