Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure Managed HSM to w pełni zarządzana, wysokodostępna, jednodzierżawna usługa modułu zabezpieczeń sprzętowych (HSM), która zapewnia ochronę kluczy kryptograficznych zweryfikowaną zgodnie z FIPS 140-3 na poziomie 3 dla aplikacji w chmurze. Ponieważ zarządzany moduł HSM chroni poufne klucze kryptograficzne i wpisy tajne, wdrożenie kompleksowych mechanizmów kontroli zabezpieczeń jest niezbędne do ochrony przed zagrożeniami i utrzymania ciągłości działania.
Zalecenia dotyczące zabezpieczeń w tym artykule implementują zasady zerowego zaufania: "Sprawdź jawnie", "Użyj dostępu z najmniejszymi uprawnieniami" i "Przyjmij naruszenie". Aby uzyskać kompleksowe wskazówki dotyczące zerowego zaufania, zobacz Centrum wskazówek dotyczących zerowego zaufania.
Ten artykuł zawiera zalecenia dotyczące zabezpieczeń ułatwiające ochronę wdrożenia zarządzanego modułu HSM platformy Azure.
Bezpieczeństwo sieci
Zabezpieczenia sieciowe chronią zarządzany HSM dzięki bezpiecznej łączności i kontrolom dostępu sieciowego. Te funkcje zabezpieczeń sieci są wymienione z najbardziej ograniczonych do najmniej ograniczonych możliwości. Wybierz konfigurację najlepiej dopasowaną do przypadku użycia organizacji. Aby uzyskać szczegółowe informacje o wszystkich konfiguracjach zabezpieczeń sieci, zobacz Zabezpieczenia sieciowe zarządzanego modułu HSM usługi Azure Key Vault.
Wyłącz dostęp do sieci publicznej i używaj tylko prywatnych punktów końcowych: wdróż usługę Azure Private Link w celu ustanowienia prywatnej, zabezpieczonej łączności z wystąpieniem zarządzanego modułu HSM przez utworzenie prywatnego punktu końcowego w sieci wirtualnej. Wyłączenie dostępu do sieci publicznej uniemożliwia dostęp z publicznych adresów IP przez skonfigurowanie zarządzanego modułu HSM w celu odmowy dostępu do sieci publicznej. Zapobiega to narażeniu na publiczny Internet i kieruje cały ruch przez sieć szkieletową firmy Microsoft. Zobacz Integrowanie zarządzanego modułu HSM z usługą Azure Private Link.
Skonfiguruj zarządzaną zaporę HSM z zaufanymi usługami: skonfiguruj reguły zapory zarządzanego modułu HSM, aby blokować publiczny dostęp do Internetu, zezwalając jednocześnie na określone zaufane usługi platformy Azure za pośrednictwem
--bypass AzureServicesustawienia, jeśli jest to wymagane przez scenariusz. Ogranicza to obszar ataków przy zachowaniu niezbędnych integracji usług. Aby uzyskać szczegółowe informacje, zobacz Zabezpieczenia sieciowe: włączona zapora modułu HSM zarządzanego przez usługę Azure (tylko zaufane usługi).Włącz zaporę sieci IP (wersja zapoznawcza): ogranicz dostęp do publicznych statycznych adresów IP, gdy scenariusze sieciowe wymagają kontrolowanego dostępu publicznego. Aby uzyskać szczegółowe informacje, zobacz Zabezpieczenia sieci zarządzanego modułu HSM w usłudze Azure Key Vault: ustawienia zapory.
Aby uzyskać instrukcje krok po kroku dotyczące konfiguracji, zobacz How to configure Azure Managed HSM networking settings (Jak skonfigurować ustawienia sieciowe zarządzanego modułu HSM platformy Azure).
Zarządzanie tożsamością i dostępem
Zarządzanie tożsamościami i dostępem zabezpiecza uwierzytelnianie i autoryzację do zarządzanych zasobów modułu HSM. Zarządzany moduł HSM używa modelu dostępu z dwoma płaszczyznami z różnymi systemami autoryzacji na potrzeby operacji płaszczyzny sterowania i płaszczyzny danych.
Wdrożenie lokalnego RBAC na potrzeby kontrolowanej płaszczyzny danych w zarządzanym module HSM: użyj lokalnego RBAC modułu HSM do kontrolowania dostępu do kluczy i operacji kryptograficznych w ramach HSM. Ten system autoryzacji działa niezależnie od kontroli dostępu opartej na rolach w Azure i zapewnia szczegółowe uprawnienia do operacji związanych z kluczami, przypisywania ról i zarządzania domeny zabezpieczeń. Zobacz Kontrola dostępu dla zarządzanego modułu HSM.
Włącz tożsamości zarządzane na potrzeby dostępu do aplikacji: skonfiguruj tożsamości zarządzane przypisane przez system lub przypisane przez użytkownika dla aplikacji w celu uwierzytelniania w zarządzanym module HSM bez przechowywania poświadczeń w kodzie lub plikach konfiguracji. Tożsamości zarządzane integrują się z Microsoft Entra ID i automatycznie obsługują rotację danych uwierzytelniających. Zobacz Kontrola dostępu dla zarządzanego modułu HSM.
Zastosuj dostęp z najmniejszymi uprawnieniami z odpowiednimi zakresami: udziel uprawnień w najbardziej restrykcyjnym zakresie — na poziomie HSM (
/lub/keys) w celu uzyskania szerokiego dostępu lub na poziomie klucza (/keys/<key-name>) w celu uzyskania dostępu do określonego klucza. Używaj wbudowanych ról, takich jak zarządzany oficer kryptograficzny HSM, zarządzany użytkownik kryptograficzny HSM lub zarządzany audytor kryptograficzny HSM w oparciu o wymagane operacje. Zobacz Kontrola dostępu dla zarządzanego modułu HSM.Przypisz rolę administratora modułu HSM do grup zabezpieczeń: udziel roli administratora modułu HSM grupom zabezpieczeń firmy Microsoft zamiast poszczególnym użytkownikom, aby zapobiec przypadkowemu zablokowaniu, jeśli konta użytkowników zostaną usunięte. Takie podejście upraszcza zarządzanie uprawnieniami i zapewnia ciągłość dostępu administracyjnego podczas procesu aprowizacji modułu HSM. Zobacz Kontrola dostępu dla zarządzanego modułu HSM.
Włącz usługę Privileged Identity Management dla ról administracyjnych: użyj usługi Microsoft Entra Privileged Identity Management (PIM), aby wymusić dostęp just in time dla ról o wysokim poziomie uprawnień, takich jak zarządzany administrator HSM. Usługa PIM zmniejsza ryzyko stałych uprawnień administracyjnych i zapewnia procesy zatwierdzania dla podwyższonego poziomu dostępu. Zobacz Kontrola dostępu dla zarządzanego modułu HSM.
Oddzielny dostęp do płaszczyzny sterowania i płaszczyzny danych: Zrozum, że dostęp do planu sterowania (Azure RBAC) na potrzeby zarządzania zasobami modułu HSM nie zapewnia dostępu do planu danych dla kluczy. Jawnie przypisz role płaszczyzny danych za pomocą lokalnej kontroli dostępu opartej na rolach modułu HSM do użytkowników, którzy muszą wykonywać kluczowe operacje. Zobacz Kontrola dostępu dla zarządzanego modułu HSM.
Ochrona danych
Ochrona danych chroni klucze kryptograficzne i poufne dane przechowywane w zarządzanym module HSM za pomocą szyfrowania, zasad zarządzania kluczami i bezpiecznych praktyk magazynowania. Odpowiednia ochrona danych zapewnia, że kluczowy materiał pozostaje poufny i odporny na naruszenia.
Zaimplementuj kontrolę wieloosobową dla domeny zabezpieczeń: skonfiguruj kworum domeny zabezpieczeń z wieloma parami kluczy RSA (zalecane co najmniej 3), aby zapobiec kontroli pojedynczej osoby nad odzyskiwaniem modułu HSM. Określ próg kworum, który wymaga współpracy wielu posiadaczy kluczy w celu odszyfrowania domeny zabezpieczeń, zapewniając, że żaden pojedynczy użytkownik nie może naruszyć modułu HSM. Zobacz Omówienie domeny zabezpieczeń.
Przechowywanie kluczy domeny zabezpieczeń w trybie offline w bezpiecznych lokalizacjach: przechowuj klucze prywatne domeny zabezpieczeń na zaszyfrowanych urządzeniach magazynujących w trybie offline, takich jak zaszyfrowane dyski USB przechowywane w oddzielnych lokalizacjach geograficznych w fizycznych sejfach lub polach blokady. Nigdy nie przechowuj kluczy domeny bezpieczeństwa na komputerach połączonych z Internetem, aby zmniejszyć narażenie na zagrożenia cybernetyczne i zapewnić bezpieczeństwo za pomocą izolacji fizycznej. Zobacz Omówienie domeny zabezpieczeń.
Ustanów procedury zarządzania kluczami domeny zabezpieczeń: Zaimplementuj zasady okresowego przeglądu nadzoru klucza domeny zabezpieczeń, gdy wystąpią zmiany personelu lub gdy klucze mogą zostać naruszone. Udokumentowanie obowiązków właściciela domeny zabezpieczeń, utrzymywanie dokładnych rekordów lokalizacji kluczy i nadzoru oraz zapewnienie, że kworum można zebrać na potrzeby scenariuszy odzyskiwania po awarii. Zobacz Omówienie domeny zabezpieczeń.
Włącz ochronę przed przeczyszczaniem modułów HSM i kluczy: skonfiguruj ochronę przeczyszczania, aby zapobiec trwałemu usunięciu modułu HSM lub poszczególnych kluczy przed wygaśnięciem okresu przechowywania. Ta kontrolka chroni przed przypadkowym lub złośliwym usunięciem i udostępnia okno odzyskiwania dla operacji krytycznych. Zobacz Omówienie miękkiego usuwania.
Skonfiguruj odpowiednie okresy przechowywania usuwania z trybem przywracania: Ustaw okresy przechowywania usuwania z trybem przywracania w zakresie od 7 do 90 dni na podstawie wymagań związanych z odzyskiwaniem i potrzeb zgodności. Dłuższe okresy przechowywania zapewniają więcej czasu odzyskiwania, ale mogą powodować konflikt z wymaganiami dotyczącymi przechowywania danych. Zobacz Omówienie miękkiego usuwania.
Rejestrowanie i monitorowanie
Rejestrowanie i monitorowanie zapewnia wgląd w wzorce dostępu i operacje modułu HSM, umożliwiając wykrywanie zagrożeń i raportowanie zgodności. Kompleksowe rejestrowanie pomaga identyfikować podejrzane działania i wspiera badania kryminalistyczne.
Włącz rejestrowanie inspekcji przy użyciu ustawień diagnostycznych: skonfiguruj ustawienia diagnostyczne, aby przechwycić wszystkie uwierzytelnione żądania interfejsu API REST, operacje klucza i akcje domeny zabezpieczeń w tabeli AzureDiagnostics. Przekierowanie dzienników do kont Azure Storage, obszarów roboczych Log Analytics lub Event Hubs zgodnie z wymogami dotyczącymi przechowywania i analizy. Zobacz Rejestrowanie zarządzanego modułu HSM.
Analizowanie dzienników za pomocą usług Azure Monitor i Log Analytics: użyj usługi Azure Monitor do zbierania i analizowania dzienników HSM za pomocą zapytań KQL filtrujących według dostawcy zasobów "MICROSOFT". KEYVAULT" i ResourceType "MANAGEDHSMS". Tworzenie niestandardowych pulpitów nawigacyjnych i skoroszytów dla zespołów ds. operacji zabezpieczeń w celu monitorowania wzorców dostępu i użycia kluczy. Zobacz Monitorowanie zarządzanego modułu HSM platformy Azure.
Konfigurowanie alertów dla krytycznych zdarzeń zabezpieczeń: utwórz reguły alertów usługi Azure Monitor dla zdarzeń, takich jak dostępność modułu HSM poniżej 100%, opóźnienie interfejsu API usługi przekraczające progi, nietypowe wzorce kodu błędu lub nieudane próby uwierzytelnienia. Skonfiguruj zarówno statyczny próg, jak i alerty progowe dynamiczne, aby zmniejszyć liczbę wyników fałszywie dodatnich przy zachowaniu widoczności zabezpieczeń. Zobacz Konfigurowanie zarządzanych alertów modułu HSM.
Integracja z usługą Microsoft Sentinel na potrzeby zaawansowanego wykrywania zagrożeń: wdróż usługę Microsoft Sentinel, aby automatycznie wykrywać podejrzane działania przy użyciu analizy uczenia maszynowego i niestandardowych reguł wykrywania specyficznych dla zarządzanych operacji HSM. Utwórz reguły analityczne dla operacji poufnych, takich jak pobieranie domen zabezpieczeń, operacje kluczy zbiorczych lub nietypowe wzorce dostępu. Zobacz Konfigurowanie usługi Microsoft Sentinel dla zarządzanego modułu HSM platformy Azure.
Zaimplementuj odpowiednie zasady przechowywania dzienników: ustanów okresy przechowywania dzienników spełniające wymagania dotyczące zgodności i obsługują badania kryminalistyczne. Zasady przechowywania Log Analytics w Azure Monitor umożliwiają zarządzanie kosztami magazynowania przy zachowaniu odpowiednich możliwości analizy incydentów zabezpieczeń. Zobacz Monitorowanie zarządzanego modułu HSM platformy Azure.
Zgodność i ład
Mechanizmy kontroli zgodności i zarządzania zapewniają, że wdrożenie zarządzanego modułu HSM realizuje wymagania prawne i zasady organizacyjne poprzez zautomatyzowane wymuszanie zasad oraz monitorowanie zgodności.
Zaimplementuj Azure Policy dla kluczowego nadzoru: udziel roli "Managed HSM Crypto Auditor" usłudze "Azure Managed HSM Key Governance Service" (Identyfikator aplikacji: a1b76039-a76c-499f-a2dd-846b4cc32627) w celu umożliwienia skanowania zgodności Azure Policy, a następnie zdefiniuj reguły polityki do przeprowadzania audytu lub wymuszania bezpiecznych konfiguracji kluczy, w tym wymagań dotyczących wygaśnięcia kluczy, minimalnych rozmiarów kluczy RSA i ograniczeń dla algorytmów krzywej eliptycznej. Bez tego przypisania roli usługa Azure Policy nie może ocenić kompletnego spisu kluczy. Zobacz Integrowanie zarządzanego modułu HSM platformy Azure z usługą Azure Policy.
Konfigurowanie cyklu życia klucza i standardów kryptograficznych: użyj wbudowanych definicji usługi Azure Policy, aby wymusić daty wygaśnięcia klucza, wprowadzić minimalne rozmiary kluczy RSA na potrzeby zgodności z zabezpieczeniami, ograniczyć kryptografię krzywej eliptycznej do zatwierdzonych nazw krzywych (P-256, P-256K, P-384, P-521) i zapewnić, że klucze mają wystarczający czas przed wygaśnięciem procedur rotacji. Zobacz Integrowanie zarządzanego modułu HSM platformy Azure z usługą Azure Policy.
Monitorowanie zgodności za pomocą pulpitów nawigacyjnych usługi Azure Policy: użyj pulpitów nawigacyjnych zgodności usługi Azure Policy, aby śledzić przestrzeganie standardów zabezpieczeń kryptograficznych i identyfikować niezgodne klucze, które wymagają korygowania. Skonfiguruj zarówno efekty zasad inspekcji, jak i odmowy, aby zapewnić widoczność i wymuszanie punktów odniesienia zabezpieczeń. Zobacz Integrowanie zarządzanego modułu HSM platformy Azure z usługą Azure Policy.
Kopia zapasowa i przywracanie
Tworzenie kopii zapasowych i odzyskiwanie chroni przed utratą danych i umożliwia ciągłość działania dzięki odpowiednim strategiom tworzenia kopii zapasowych, procedurom odzyskiwania po awarii i testowaniu odzyskiwania w celu zapewnienia dostępności kluczy kryptograficznych.
Tworzenie regularnych pełnych kopii zapasowych modułu HSM: Zaplanuj automatyczne tworzenie pełnych kopii zapasowych modułu HSM, które obejmują wszystkie klucze, wersje, atrybuty, tagi i przypisania ról, aby zapobiec utracie danych przed awariami sprzętowymi lub zdarzeniami operacyjnymi. Użyj zarządzanych tożsamości przypisanych przez użytkownika do operacji tworzenia kopii zapasowych, aby umożliwić bezpieczny dostęp do kont magazynu bez konieczności zarządzania poświadczeniami. Zobacz Pełne tworzenie kopii zapasowej i przywracanie.
Zaimplementuj pojedyncze kopie zapasowe na poziomie klucza dla kluczy krytycznych: utwórz selektywne kopie zapasowe kluczy o wysokiej wartości przy użyciu
az keyvault key backuppolecenia , aby umożliwić szczegółowe odzyskiwanie bez pełnych operacji przywracania modułu HSM. Kopie zapasowe kluczy są szyfrowane i kryptograficznie powiązane z domeną zabezpieczeń, co oznacza, że można je przywrócić tylko do modułów HSM współużytkujących tę samą domenę zabezpieczeń. Zobacz Pełne tworzenie kopii zapasowej i przywracanie.Przygotuj kompleksowe procedury odzyskiwania po awarii: Opracowywanie i testowanie planów odzyskiwania po awarii obejmujących odzyskiwanie domeny zabezpieczeń przy użyciu par kluczy RSA, procedur przywracania kopii zapasowych i kroków ponownej konfiguracji aplikacji. Upewnij się, że zachowasz bezpieczny dostęp w trybie offline do plików domeny zabezpieczeń, kluczy prywatnych (minimum kworum) i ostatnich kopii zapasowych przechowywanych w oddzielnych lokalizacjach geograficznych. Zobacz Przewodnik odzyskiwania po awarii.
Regularne testowanie procedur tworzenia kopii zapasowych i przywracania: przeprowadzanie okresowych prób odzyskiwania po awarii przy użyciu nieprodukcyjnych wystąpień modułu HSM w celu zweryfikowania odzyskiwania domeny zabezpieczeń, przywracania kopii zapasowych i pełnego przepływu pracy odzyskiwania po awarii. Testowanie gwarantuje, że posiadacze kworum domeny zabezpieczeń mogą pomyślnie wykonać operacje odzyskiwania i zweryfikować integralność kopii zapasowej. Zobacz Przewodnik odzyskiwania po awarii.
Bezpieczny magazyn kopii zapasowych z odpowiednimi mechanizmami kontroli dostępu: przechowywanie kopii zapasowych modułu HSM na kontach usługi Azure Storage skonfigurowanych z odpowiednimi uprawnieniami RBAC, prywatnymi punktami końcowymi i kluczami szyfrowania zarządzanymi przez klienta. Skonfiguruj tożsamość zarządzaną przypisaną przez użytkownika z rolą Współautor danych obiektu blob usługi Storage i zaimplementuj zasady przechowywania kopii zapasowych, które równoważą wymagania dotyczące odzyskiwania z kosztami magazynowania. Zobacz Pełne tworzenie kopii zapasowej i przywracanie.
Zabezpieczenia specyficzne dla usługi
Zabezpieczenia specyficzne dla usługi dotyczą unikatowych cech zarządzanego modułu HSM, w tym ochrony na poziomie sprzętu, zgodności ze standardem FIPS i wyspecjalizowanych operacji kryptograficznych, które odróżniają je od innych usług platformy Azure.
Wykorzystaj sprzętową weryfikację FIPS 140-3 poziomu 3: Skorzystaj z zarządzanych modułów HSM, które są zgodne ze standardem FIPS 140-3 poziomu 3 i zapewniają odporne na manipulacje, kryptograficzne przetwarzanie o wysokiej entropii z izolacją klucza na poziomie sprzętowym. Zapewnia to najwyższy poziom ochrony klucza dostępny na platformie Azure. Zobacz Co to jest zarządzany moduł HSM platformy Azure?
Zaimplementuj rozwiązanie bring-your-own-key (BYOK) w celu zapewnienia zgodności z przepisami: użyj rozwiązania BYOK, aby zaimportować klucze chronione przez moduł HSM z lokalnych modułów HSM, gdy wymagania prawne nakazują określone procedury generowania kluczy. Funkcja BYOK zapewnia, że klucze nigdy nie istnieją poza granicami modułu HSM w postaci zwykłego tekstu podczas procesu transferu. Zobacz Co to jest zarządzany moduł HSM platformy Azure?
Korzystanie z izolacji z jedną dzierżawą w przypadku obciążeń poufnych: korzystaj z architektury z jedną dzierżawą zarządzanego modułu HSM, w której każde wystąpienie modułu HSM jest przeznaczone dla pojedynczego klienta i kryptograficznie odizolowane za pośrednictwem domen zabezpieczeń specyficznych dla klienta. Zapewnia to silniejszą izolację niż wielodostępne rozwiązania magazynu kluczy. Zobacz Co to jest zarządzany moduł HSM platformy Azure?
Zaimplementuj odpowiednie procedury zaświadczania kluczy: użyj funkcji zaświadczania kluczy, aby udowodnić, że klucze zostały wygenerowane i przetworzone w granicach sprzętu fiPS 140-3 poziom 3. Zaświadczanie klucza zapewnia kryptograficzną weryfikację pochodzenia kluczy w scenariuszach zapewniających wysoką pewność. Zobacz Zaświadczanie klucza.
Konfigurowanie replikacji między regionami pod kątem ciągłości działania: włącz replikację w wielu regionach, aby rozszerzyć zarządzany moduł HSM z regionu podstawowego na region rozszerzony, zapewniając aktywne-aktywne wdrożenie z automatyczną replikacją. Oba regiony mogą obsługiwać żądania, a usługa Traffic Manager kieruje żądania do najbliższego dostępnego regionu, zwiększając poziom świadczenia usług (SLA) do 99,99% łącznie. Zobacz Replikacja między regionami.
Dalsze kroki
- Zabezpieczenia sieci dla zarządzanego modułu HSM usługi Azure Key Vault
- Jak skonfigurować ustawienia sieciowe zarządzanego modułu HSM platformy Azure
- Integracja z usługą Azure Private Link
- Kontrola dostępu
- Wbudowane role lokalne RBAC
- Integracja z usługą Azure Policy
- Omówienie domeny zabezpieczeń
- Podstawy zabezpieczeń platformy Azure