Azure Key Vault'unuzun güvenliğini sağlama

Azure Key Vault bulutta şifreleme anahtarlarını, sertifikaları (ve sertifikalarla ilişkili özel anahtarları) ve gizli dizileri (bağlantı dizesi ve parolalar gibi) korur. Bununla birlikte, hassas ve iş açısından kritik verileri depolarken, depolama alanlarınızın ve bu alanlarda saklanan verilerin güvenliğini en üst düzeye çıkarmak için adımlar atmalısınız.

Bu makaledeki güvenlik önerileri Sıfır Güven ilkelerini uygular: "Açıkça doğrula", "En az ayrıcalık erişimi kullan" ve "İhlal varsay". Kapsamlı Sıfır Güven kılavuzu için bkz. Sıfır Güven Kılavuzu Merkezi.

Bu makalede, Azure Key Vault dağıtımınızın korunmasına yardımcı olacak güvenlik önerileri sağlanır.

Hizmete özgü güvenlik

Azure Key Vault' un kasa mimarisi ve şifreleme malzemeleri depolamak için hizmetin uygun kullanımıyla ilgili benzersiz güvenlik konuları vardır.

Anahtar kasası mimarisi

• Uygulama, bölge ve ortam başına tek bir Key Vault kullanın: İhlallerin etkisini azaltmak için geliştirme, ön üretim ve üretim ortamları için ayrı Anahtar Kasaları oluşturun.

  Anahtar kasaları, depolanan gizli bilgiler için güvenlik sınırlarını tanımlar. Gizli sırların aynı kasada gruplanması, bir güvenlik olayında patlama yarıçapını artırır çünkü saldırılar çeşitli konulardaki sırları erişebilir hale gelebilir. Farklı konular arasında erişimi azaltmak için, belirli bir uygulamanın hangi sırlara erişmesi gerektiğini göz önünde bulundurun ve ardından anahtar kasalarınızı bu tanımlamaya göre ayırın. Anahtar kasalarını uygulamaya göre ayırmak en yaygın sınırdır. Ancak güvenlik sınırları, örneğin ilgili hizmetler grubu başına büyük uygulamalar için daha ayrıntılı olabilir.

• Çok kiracılı çözümlerde kiracı başına bir Key Vault kullanın: Çok kiracılı SaaS çözümleri için, veri yalıtımını korumak için her kiracı için ayrı bir Key Vault kullanın. Bu, müşteri verilerinin ve iş yüklerinin güvenli yalıtımı için önerilen yaklaşımdır. Bkz. Çoklu Kiracı Desteği ve Azure Key Vault.

Key Vault'ta Nesne Depolama

• Müşteri yapılandırmalarını veya hizmet yapılandırmalarını depolamak için Key Vault'ı veri depolama alanı olarak kullanmayın: Hizmetler bekleyen şifreleme ile Azure Depolama'yı veya Azure configuration manager'ı kullanmalıdır. Depolama, bu tür senaryolar için daha yüksek performanslıdır.

• Sertifikaları (müşteriye veya hizmete ait) gizli dizi olarak depolamayın: Hizmete ait sertifikalar Key Vault sertifikaları olarak depolanmalı ve otomatik döndürme için yapılandırılmalıdır. Daha fazla bilgi için bkz.: Azure Anahtar Kasası: Sertifikalar ve Azure Anahtar Kasası'nda otomatik döndürmeyi anlama.

  • Müşteri içeriği (gizli diziler ve sertifikalar hariç) Key Vault'ta depolanmamalıdır: Key Vault bir veri deposu değildir ve veri deposu gibi ölçeklendirilecek şekilde oluşturulmamalıdır. Bunun yerine Cosmos DB veya Azure Depolama gibi uygun bir veri deposu kullanın. Müşteriler, veri dururken şifreleme için KAG (Kendi Anahtarını Getir) seçeneğine sahiptir. Bu anahtar, Azure Depolama'daki verileri şifrelemek için Azure Key Vault'ta depolanabilir.

Ağ Güvenliği

Ağ erişimini azaltmak, Azure Key Vault'un yetkisiz erişime karşı korunması açısından kritik öneme sahiptir. Ağ kısıtlamalarını kuruluşunuzun gereksinimlerine ve kullanım örneğine göre yapılandırın. Ayrıntılı bilgi ve adım adım yapılandırma yönergeleri için bkz. Azure Key Vault için ağ güvenliğini yapılandırma.

Bu ağ güvenlik özellikleri, en kısıtlı özelliklerden en az kısıtlanmış özelliklere göre listelenir. Kuruluşunuzun kullanım örneğine en uygun yapılandırmayı seçin.

• Genel ağ erişimini devre dışı bırakın ve yalnızca Özel Uç Noktaları kullanın: Sanal ağdan Azure Key Vault'a özel erişim noktası oluşturmak ve genel İnternet'e erişimi önlemek için Azure Özel Bağlantı dağıtın. Uygulama adımları için bkz. Key Vault'ı Azure Özel Bağlantı ile tümleştirme.

  • Bazı müşteri senaryolarında güvenlik duvarını atlamak için güvenilir Microsoft hizmetleri gerekir; bu gibi durumlarda kasanın Güvenilen Microsoft Hizmetlerine izin verecek şekilde yapılandırılması gerekebilir. Tüm ayrıntılar için bkz . Ağ güvenliğini yapılandırma: Key Vault Güvenlik Duvarı Etkin (Yalnızca Güvenilen Hizmetler).

• Key Vault Güvenlik Duvarı'nı etkinleştirme: Genel statik IP adreslerine veya sanal ağlarınıza erişimi sınırlayın. Tüm ayrıntılar için bkz . Ağ güvenliğini yapılandırma: Güvenlik duvarı ayarları.

  • Bazı müşteri senaryolarında güvenlik duvarını atlamak için güvenilir Microsoft hizmetleri gerekir; bu gibi durumlarda kasanın Güvenilen Microsoft Hizmetlerine izin verecek şekilde yapılandırılması gerekebilir.

• Ağ Güvenlik Çevresini Kullanma: Kuruluşunuzun sanal ağ çevresi ve/veya genel statik IP adresleri dışında dağıtılan PaaS kaynakları (örneğin Azure Key Vault, Azure Depolama ve SQL Veritabanı) için bir mantıksal ağ yalıtım sınırı tanımlayın. Tüm ayrıntılar için bkz . Ağ güvenliğini yapılandırma: Ağ Güvenliği Çevresi.

  • publicNetworkAccess: SecuredByPerimeter "Güvenilen Microsoft hizmetlerinin güvenlik duvarını atlamasına izin ver" ifadesini geçersiz kılar, yani bu güven gerektiren bazı senaryolar çalışmaz.

TLS ve HTTPS

Azure Key Vault, istemcilerle hizmet arasında güvenli iletişim sağlamak için TLS 1.2 ve 1.3 protokol sürümlerini destekler.

• TLS sürüm denetimini zorunlu kılma: Key Vault ön yüzü (veri düzlemi), farklı müşterilerin anahtar kasalarının aynı genel IP adresini paylaşabileceği çok kiracılı bir sunucudur. Yalıtım elde etmek için her HTTP isteğinin kimliği doğrulanır ve bağımsız olarak yetkilendirilir. HTTPS protokolü istemcilerin TLS anlaşmasına katılmasını sağlar ve istemcilerin tüm bağlantının ilgili koruma düzeyini kullandığından emin olmak için TLS sürümünü zorunlu kılabilir. İstemciler tarafından kullanılan TLS sürümlerini izlemek için örnek Kusto sorguları için bkz. Key Vault günlüğü .

Kimlik ve erişim yönetimi

Azure Key Vault, kimlik doğrulaması için Microsoft Entra Id kullanır. Erişim iki arabirim aracılığıyla denetlenir: kontrol düzlemi (Key Vault'un kendisini yönetmek için) ve veri düzlemi (anahtarlar, gizli diziler ve sertifikalarla çalışmak için). Erişim modeli ve uç noktaları hakkında ayrıntılı bilgi için bkz. Key Vault için Azure RBAC veri düzlemi işlemleri.

• Yönetilen kimlikleri etkinleştirme: Sabit kodlanmış kimlik bilgilerini ortadan kaldırmak için Azure Key Vault'a yapılan tüm uygulama ve hizmet bağlantılarında Azure yönetilen kimliklerini kullanın. Yönetilen kimlikler kimlik doğrulamasının güvenliğini sağlamaya yardımcı olurken, açık kimlik bilgileri gereksinimini de ortadan kaldırır. Kimlik doğrulama yöntemleri ve senaryoları için bkz. Azure Key Vault kimlik doğrulaması.

• Rol tabanlı erişim denetimini kullanma: Azure Key Vault'a erişimi yönetmek için Azure Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanın. Daha fazla bilgi için Key Vault veri düzlemi işlemleri için Azure RBAC bölümüne bakın.

  • Eski erişim ilkelerini kullanmayın: Eski erişim ilkelerinin bilinen güvenlik açıkları vardır ve Privileged Identity Management (PIM) desteği yoktur ve kritik veriler ve iş yükleri için kullanılmamalıdır. Azure RBAC, olası yetkisiz Key Vault erişim risklerini azaltır. Bkz . Azure rol tabanlı erişim denetimi (Azure RBAC) ve erişim ilkeleri (eski).

  Önemli

  RBAC izin modeli, kalıcı erişim için depo düzeyinde rol atamalarına ve ayrıcalıklı işlemler için uygun aday (JIT) atamalarına olanak tanır. Nesne kapsamı atamaları yalnızca okuma işlemlerini destekler; ağ erişim denetimi, izleme ve nesne yönetimi gibi yönetim işlemleri için kasa düzeyinde izinler gerekir. Uygulama ekipleri arasında güvenli yalıtım için uygulama başına bir Key Vault kullanın.

• Tam zamanında (JIT) ayrıcalıklı roller atama: Key Vault yöneticileri ve operatörleri için uygun JIT Azure RBAC rolleri atamak için Azure Privileged Identity Management (PIM) kullanın. Ayrıntılar için bkz . Privileged Identity Management'a (PIM) genel bakış .

  • Ayrıcalıklı rol etkinleştirmesi için onay iste: JIT rollerini etkinleştirmek için en az bir onaylayan gerektiğinden emin olarak yetkisiz erişimi önlemek için ek bir güvenlik katmanı ekleyin. Privileged Identity Management'ta Microsoft Entra rol ayarlarını yapılandırma konusuna bakın.
  • Rol etkinleştirme için çok faktörlü kimlik doğrulamasını zorunlu kılma: MFA'nın işleçler ve yöneticiler için JIT rollerini etkinleştirmesini zorunlu kılma. Bkz . Microsoft Entra çok faktörlü kimlik doğrulaması.

• Microsoft Entra Koşullu Erişim İlkelerini Etkinleştirme: Key Vault, kullanıcı konumu veya cihaz gibi koşullara göre erişim denetimleri uygulamak için Microsoft Entra Koşullu Erişim ilkelerini destekler. Daha fazla bilgi için bkz . Koşullu Erişime genel bakış.

• En az ayrıcalık ilkesini uygulayın: Yönetici rollerine sahip kullanıcı sayısını sınırlayın ve kullanıcılara yalnızca rolleri için gereken en düşük izinlerin verildiğinden emin olun. Bkz. Güvenliği en az ayrıcalık ilkesiyle geliştirme

Veri Koruma

Azure Key Vault'ta depolanan verilerin korunması için geçici silme, temizleme korumasının etkinleştirilmesi ve şifreleme malzemelerinin otomatik olarak döndürülebilmesi gerekir.

• Geçici silmeyi açma: Geçici silme özelliğinin etkinleştirildiğinden emin olun; böylece silinen Key Vault nesneleri 7 ile 90 günlük saklama süresi içinde kurtarılabilir. Bkz. Azure Key Vault yumuşak silme genel bakış.

• Temizleme korumasını açma: Geçici silme etkinleştirildikten sonra bile Key Vault nesnelerinin yanlışlıkla veya kötü amaçlı silinmesine karşı koruma sağlamak için temizleme korumasını etkinleştirin. Bkz.: Azure Key Vault yumuşak silme genel bakışı: Temizleme Koruması

• Şifreleme varlıkları için otomatik döndürmeyi uygulama: Risk riskini en aza indirmek ve güvenlik ilkeleriyle uyumluluğu sağlamak için anahtarların, gizli dizilerin ve sertifikaların otomatik döndürmesini yapılandırın. Şifreleme malzemelerinin düzenli olarak döndürülerek kullanılması kritik bir güvenlik uygulamasıdır. Bkz. Azure Key Vault'ta otomatik döndürmeyi anlama, Anahtar otomatik döndürmeyi yapılandırma, Sertifika otomatik döndürmeyi yapılandırma, Tek kimlik doğrulama kimlik bilgileri kümesiyle kaynaklar için gizli dizi döndürmeyi otomatikleştirme ve iki kimlik doğrulama kimlik bilgisi kümesiyle kaynaklar için gizli dizi döndürmeyi otomatikleştirme.

Uyumluluk ve idare

Düzenli uyumluluk denetimleri ve idare ilkeleri, Key Vault dağıtımınızın güvenlik standartlarına ve kuruluş gereksinimlerine uygun olmasını sağlar.

• Yapılandırmayı zorlamak için Azure İlkesi kullanın: Azure Key Vault için güvenli yapılandırmaları denetlemek ve zorunlu kılmak ve ilkeden sapmalar için uyarılar ayarlamak üzere Azure İlkesi yapılandırın. Azure Key Vault için Azure İlkesi Mevzuat Uyumluluğu denetimlerini görün.

Kayıt Tutma ve Tehdit Algılama

Kapsamlı günlük kaydı ve izleme, şüpheli etkinliklerin algılanması ve denetim gereksinimleriyle uyumluluğun sağlanmasını sağlar.

• Denetim günlüğünü etkinleştirme: Key Vault günlüğü, kasada gerçekleştirilen işlemler hakkındaki bilgileri kaydeder. Tüm ayrıntılar için bkz. Key Vault günlükleri.

• Key Vault için Microsoft Defender'ı etkinleştirme: Şüpheli etkinlikleri izlemek ve bu etkinlikle ilgili uyarı vermek için Key Vault için Microsoft Defender'ı etkinleştirin. Ayrıntılar için bkz. Key Vault için Microsoft Defender'a giriş

• Güvenlik olayları için günlük uyarılarını etkinleştirme: Erişim hataları veya gizli dizi silme gibi kritik olaylar günlüğe kaydedildiğinde bildirilecek uyarıları ayarlayın. Bkz. Azure Key Vault için izleme ve uyarı.

• İzleme ve uyarı: Anahtarlarda, sertifikalarda veya gizli dizilerde yapılan değişikliklerle ilgili bildirimler almak için Key Vault'u Event Grid ile tümleştirin. Ayrıntılar için bkz . Azure Event Grid ile Key Vault'un izlenmesi.

Yedekleme ve Kurtarma

Düzenli yedeklemeler, iş sürekliliğini sağlar ve yanlışlıkla veya kötü amaçlı silme işleminden kaynaklanan veri kaybına karşı koruma sağlar.

• Azure Key Vault için yerel yedeklemeyi etkinleştirme: Azure Key Vault yerel yedekleme özelliğini yapılandırıp kullanarak gizli dizileri, anahtarları ve sertifikaları yedekleyerek kurtarılabilirliği sağlayın. Bkz. Azure Key Vault yedeklemesi.

• Yeniden oluşturulamaz sırlar için yedekleme yapılmasına dikkat edin: Diğer kaynaklardan yeniden oluşturulamaz Key Vault nesnelerini (şifreleme anahtarları gibi) yedekleyin. Bkz. Azure Key Vault yedeklemesi.

• Yedekleme ve kurtarma yordamlarını test etme: Yedekleme işlemlerinin verimliliğini doğrulamak için Key Vault gizli dizilerinin, anahtarlarının ve sertifikalarının geri yüklenmesini düzenli olarak test edin. Bkz. Azure Key Vault yedeklemesi.

İlgili güvenlik makaleleri

Anahtarlara, gizli dizilere ve sertifikalara özgü en iyi güvenlik uygulamaları için bkz:

• Azure Key Vault anahtarlarınızı güvenceye alın - Anahtarlara özgü güvenlik için en iyi uygulamalar: döndürme, HSM koruması ve BYOK
• Azure Key Vault gizli dizilerinizin güvenliğini sağlama - Döndürme, önbelleğe alma ve izleme gibi gizli dizilere özgü en iyi güvenlik uygulamaları
• Azure Key Vault sertifikalarınızın güvenliğini sağlama - Yaşam döngüsü yönetimi, yenileme ve CA tümleştirmesi gibi sertifikaya özgü en iyi güvenlik uygulamaları

Sonraki adımlar

• Azure Key Vault güvenlik temeli
• Azure Yönetilen HSM dağıtımınızın güvenliğini sağlama
• Azure Key Vault için sanal ağ hizmet uç noktaları
• Azure RBAC: Yerleşik roller