Azure'da şifreleme ve anahtar yönetimi
Şifreleme, Microsoft Azure'da veri gizliliği, uyumluluk ve veri yerleşimi sağlamaya yönelik önemli bir adımdır. Ayrıca birçok işletmenin en önemli güvenlik endişelerinden biridir. Bu bölümde, şifreleme ve anahtar yönetimi için tasarımla ilgili önemli noktalar ve öneriler ele alınıyor.
Tasarımla ilgili dikkat edilecek noktalar
Abonelik ve ölçek sınırlarını Azure Key Vault için geçerli olacak şekilde ayarlayın.
Key Vault'ta anahtarlar ve gizli diziler için işlem sınırları vardır. Kasa başına işlemleri belirli bir süre kısıtlamak için bkz. Azure sınırları.
Anahtarlar, gizli diziler ve sertifikalar için erişim izinleri kasa düzeyinde olduğundan Key Vault bir güvenlik sınırı sunar. Key Vault erişim ilkesi atamaları anahtarlara, gizli dizilere veya sertifikalara ayrı izinler verir. Belirli bir anahtar, gizli dizi veya sertifika anahtarı yönetimi gibi ayrıntılı, nesne düzeyinde izinleri desteklemez.
HSM korumalı (Donanım Güvenlik Modülü) anahtarlarının gerekli olduğu Premium SKU'ları iyileştirin.
Temel HSM'ler FIPS 140-2 Düzey 2 ile uyumludur. Desteklenen senaryoları göz önünde bulundurarak FIPS 140-2 Düzey 3 uyumluluğu için Azure ayrılmış HSM'yi yönetin.
Anahtar döndürmeyi ve gizli dizi süre sonunu yönetme.
Sertifika tedarikini ve imzalamayı yönetmek için Key Vault sertifikalarını kullanın. Uyarıları, bildirimleri ve otomatik sertifika yenilemelerini ayarlayın.
Anahtarlar, sertifikalar ve gizli diziler için olağanüstü durum kurtarma gereksinimlerini ayarlayın.
Key Vault hizmeti çoğaltma ve yük devretme özelliklerini ayarlayın. Kullanılabilirliği ve yedekliliği ayarlayın.
Anahtar, sertifika ve gizli dizi kullanımını izleyin.
Anahtar kasası veya Azure İzleyici Log Analytics çalışma alanı kullanarak yetkisiz erişimi algılama. Daha fazla bilgi için bkz . Azure Key Vault için izleme ve uyarı oluşturma.
Key Vault örneğine ve ayrıcalıklı erişime temsilci atama. Daha fazla bilgi için bkz . Azure Key Vault güvenliği.
Azure Depolama şifrelemesi gibi yerel şifreleme mekanizmaları için müşteri tarafından yönetilen anahtarları kullanma gereksinimlerini ayarlayın:
- Müşteri tarafından yönetilen anahtarlar
- Sanal makineler (VM' ler) için tam disk şifrelemesi
- Aktarım sırasında veri şifrelemesi
- Bekleyen veri şifrelemesi
Tasarım önerileri
İşlem ölçeği sınırlarını önlemek için federasyon Azure Key Vault modeli kullanın.
Azure RBAC, Azure Key Vault veri düzlemi için önerilen yetkilendirme sistemidir. Daha fazla bilgi için bkz . Azure rol tabanlı erişim denetimi (Azure RBAC) ile erişim ilkeleri (eski) karşılaştırması.
Silinen nesneler için bekletme koruması sağlamak için Azure Key Vault'a geçici silme ve temizleme ilkeleri etkinleştirilmiş olarak sağlayın.
Anahtarları, gizli dizileri ve sertifikaları kalıcı olarak silmek için yetkilendirmeyi özel özel Microsoft Entra rolleriyle sınırlayarak en düşük ayrıcalıklı modeli izleyin.
Yönetimi kolaylaştırmak için genel sertifika yetkilileriyle sertifika yönetimi ve yenileme sürecini otomatikleştirin.
Anahtar ve sertifika döndürme için otomatik bir işlem oluşturun.
Anahtar kasasına erişimi denetlemek için kasada güvenlik duvarı ve sanal ağ hizmet uç noktalarını etkinleştirin.
Key Vault'un her örneğinde anahtar, sertifika ve gizli dizi kullanımını denetlemek için platform merkezi Azure İzleyici Log Analytics çalışma alanını kullanın.
Key Vault örneğini ve ayrıcalıklı erişimi temsilci olarak belirleyin ve tutarlı bir uyumlu yapılandırmayı zorlamak için Azure İlkesi kullanın.
Asıl şifreleme işlevi için varsayılan olarak Microsoft tarafından yönetilen anahtarlar kullanılır ve gerektiğinde müşteri tarafından yönetilen anahtarlar kullanılır.
Uygulama anahtarları veya gizli diziler için Key Vault'un merkezi örneklerini kullanmayın.
Ortamlar arasında gizli dizi paylaşımını önlemek için Uygulamalar arasında Key Vault örneklerini paylaşmayın.