Dela via

Kryptering och nyckelhantering i Azure

  • Artikel

Kryptering är ett viktigt steg mot att säkerställa datasekretess, efterlevnad och datahemvist i Microsoft Azure. Det är också en av de viktigaste säkerhetsproblemen för många företag. Det här avsnittet beskriver designöverväganden och rekommendationer för kryptering och nyckelhantering.

Tips för utformning

  • Ange prenumerations- och skalningsgränser som de gäller för Azure Key Vault.

    Key Vault har transaktionsgränser för nycklar och hemligheter. Information om hur du begränsar transaktioner per valv under en viss tidsperiod finns i Azure-gränser.

    Key Vault har en säkerhetsgräns eftersom åtkomstbehörigheter för nycklar, hemligheter och certifikat finns på valvnivå. Key Vault-åtkomstprinciptilldelningar beviljar behörigheter separat till nycklar, hemligheter eller certifikat. De stöder inte detaljerade behörigheter på objektnivå, till exempel en specifik nyckel, hemlighet eller hantering av certifikatnycklar.

  • Isolera programspecifika och arbetsbelastningsspecifika hemligheter och delade hemligheter efter behov för att kontrollera åtkomsten.

  • Optimera Premium-SKU:er där HSM-skyddade nycklar (maskinvarusäkerhetsmodul) krävs.

    Underliggande HSM:er är FIPS 140-2 Level 2-kompatibla. Hantera azure dedicated HSM for FIPS 140-2 Level 3 compliance genom att överväga de scenarier som stöds.

  • Hantera nyckelrotation och hemlig förfallotid.

  • Använd Key Vault-certifikat för att hantera certifikatanskaffning och signering. Ange aviseringar, meddelanden och automatiserade certifikatförnyelser.

  • Ange krav för haveriberedskap för nycklar, certifikat och hemligheter.

  • Ange replikering och redundansfunktioner för Key Vault-tjänsten. Ange tillgänglighet och redundans.

  • Övervaka nyckel- och certifikatanvändning och hemlig användning.

    Identifiera obehörig åtkomst med hjälp av ett nyckelvalv eller En Azure Monitor Log Analytics-arbetsyta. Mer information finns i Övervakning och avisering för Azure Key Vault.

  • Delegera Key Vault-instansiering och privilegierad åtkomst. Mer information finns i Azure Key Vault-säkerhet.

  • Ange krav för att använda kundhanterade nycklar för inbyggda krypteringsmekanismer, till exempel Azure Storage-kryptering:

    • Kundhanterade nycklar
    • Vem le-diskkryptering för virtuella datorer (VM)
    • Kryptering under överföring av data
    • Data-i-vila-kryptering

Designrekommendationer

  • Använd en federerad Azure Key Vault-modell för att undvika transaktionsskalningsgränser.

  • Azure RBAC är det rekommenderade auktoriseringssystemet för Azure Key Vault-dataplanet. Mer information finns i Rollbaserad åtkomstkontroll i Azure (Azure RBAC) jämfört med åtkomstprinciper (äldre).

  • Etablera Azure Key Vault med principerna för mjuk borttagning och rensning aktiverade för att tillåta kvarhållningsskydd för borttagna objekt.

  • Följ en modell med lägsta behörighet genom att begränsa auktoriseringen till att permanent ta bort nycklar, hemligheter och certifikat till specialiserade anpassade Microsoft Entra-roller.

  • Automatisera processen för hantering och förnyelse av certifikat med offentliga certifikatutfärdare för att underlätta administrationen.

  • Upprätta en automatiserad process för nyckel- och certifikatrotation.

  • Aktivera tjänstslutpunkter för brandvägg och virtuellt nätverk i valvet för att styra åtkomsten till nyckelvalvet.

  • Använd den plattformscentrala Azure Monitor Log Analytics-arbetsytan för att granska nyckel-, certifikat- och hemlighetsanvändning inom varje instans av Key Vault.

  • Delegera Key Vault-instansiering och privilegierad åtkomst och använd Azure Policy för att framtvinga en konsekvent kompatibel konfiguration.

  • Standard för Microsoft-hanterade nycklar för huvudkrypteringsfunktioner och använd kundhanterade nycklar vid behov.

  • Använd inte centraliserade instanser av Key Vault för programnycklar eller hemligheter.

  • Om du vill undvika hemlig delning mellan miljöer ska du inte dela Key Vault-instanser mellan program.