Azure Key Vault anahtarlarınızın güvenliğini sağlama

Azure Key Vault anahtarları şifreleme, dijital imzalar ve anahtar sarmalama işlemleri için kullanılan şifreleme anahtarlarını korur. Bu makalede şifreleme anahtarı yönetimine özgü güvenlik önerileri sağlanır.

Uyarı

Bu makalede Key Vault anahtarlara özgü güvenlik uygulamalarına odaklanmaktadır. Ağ güvenliği, kimlik ve erişim yönetimi ve kasa mimarisi gibi kapsamlı Key Vault güvenlik yönergeleri için bkz. Azure Key Vault'ınızı güvenceye alma.

Anahtar türleri ve koruma düzeyleri

Azure Key Vault, farklı koruma düzeylerine sahip farklı anahtar türlerini destekler. Güvenlik gereksinimlerinize göre uygun anahtar türünü seçin:

  • Yazılım korumalı anahtarlar (RSA, EC): FIPS 140-2 Düzey 1 onaylı yazılım tarafından korunan anahtarlar. Şifreleme ve imzalama işlemleri gerektiren çoğu uygulama için uygundur.

  • HSM korumalı anahtarlar (RSA-HSM, EC-HSM): Donanım güvenlik modülleri (HSM) tarafından korunan anahtarlar. Tüm yeni anahtarlar ve anahtar sürümleri FIPS 140-3 Düzey 3 doğrulanmış HSM'lerde (HSM Platform 2) oluşturulur. Donanım destekli anahtar koruması gerektiren yüksek güvenlikli senaryolar için önerilir.

  • Yönetilen HSM anahtarları: FIPS 140-3 Düzey 3 doğrulanmış donanıma sahip ayrılmış, tek kiracılı HSM havuzlarındaki anahtarlar. En yüksek güvenlik ve uyumluluk gereksinimleri için gereklidir.

Anahtar türleri hakkında daha fazla bilgi için bkz. Azure Key Vault anahtarları hakkında.

Anahtar kullanımı ve işlemleri

Saldırı yüzeyini en aza indirmek için önemli işlemleri yalnızca uygulamanız için gerekenlerle kısıtlayın:

  • Sınır anahtarı işlemleri: Yalnızca gerekli izinleri verin (şifreleme, şifre çözme, imzalama, doğrulama, wrapKey, unwrapKey)
  • Uygun anahtar boyutlarını kullanın:
    • RSA anahtarları: Yüksek güvenlik senaryoları için en az 2048 bit, 4096 bit kullanın
    • EC anahtarları: Güvenlik gereksinimlerine göre P-256, P-384 veya P-521 eğrilerini kullanma
  • Anahtarları amaca göre ayırın: Bir anahtarın güvenliğinin aşılması durumunda etkiyi sınırlamak için şifreleme ve imzalama işlemleri için farklı anahtarlar kullanın

Anahtar işlemleri hakkında daha fazla bilgi için bkz. Key Vault'ta anahtar işlemleri.

Anahtar döndürme ve sürüm oluşturma

Güvenliği aşılmış anahtarlardan etkilenmeyi sınırlamak için normal anahtar döndürme uygulayın:

  • Otomatik anahtar döndürmeyi etkinleştirme: Anahtarları uygulama kapalı kalma süresi olmadan döndürmek için otomatik döndürme ilkelerini yapılandırın. Bkz Anahtar otomatik döndürme yapılandırması
  • Döndürme sıklığını ayarlama: Şifreleme anahtarlarını en az iki yılda bir veya uyumluluk gereksinimlerine göre daha sık döndürme
  • Anahtar sürümleme kullanımı: Key Vault, anahtarları otomatik olarak sürümler ve mevcut şifrelenmiş verileri bozmadan sorunsuz bir şekilde döndürülmesine olanak tanır.
  • Yeniden şifrelemeyi planlama: Uzun vadeli veriler için yeni anahtar sürümleriyle verileri yeniden şifreleme stratejileri uygulayın

Döndürme hakkında daha fazla bilgi için bkz. Azure Key Vault içinde şifreleme anahtarı otomatik döndürmeyi yapılandırma.

Anahtar yedekleme ve kurtarma

Uygun yedekleme ve kurtarma yordamlarını uygulayarak veri kaybına karşı koruma:

  • Geçici silmeyi etkinleştir: Geçici silme, silinen anahtarların saklama süresi (7-90 gün) içinde kurtarılmasına olanak tanır. Bkz. Azure Key Vault geçici silmeye genel bakış
  • Temizleme korumasını etkinleştirme: Saklama süresi boyunca anahtarların kalıcı olarak silinmesini önleyin. Temizleme koruması Bkz
  • Kritik anahtarları yedekleme: Yer değiştirilemeyen verileri koruyan anahtarların yedeklerini dışarı aktarın ve güvenli bir şekilde depolayın. Bkz. Azure Key Vault backup
  • Yedekleme izinlerini kısıtlama: Anahtar işlemine backup yalnızca gerçekten ihtiyacı olan kimliklere verin. Yedeklenen bir anahtar, başka bir kasaya geri yüklendiğinde özgün anahtardan tamamen bağımsız hale gelir. Ayrıntılar için bkz . Yedekleme güvenliğiyle ilgili önemli noktalar .
  • Belge kurtarma yordamları: Anahtar kurtarma senaryoları için runbook'ları koruma

Anahtar ihlali yanıtı

Bir anahtarın gizliliğinin ihlal edildiğini düşünüyorsanız (örneğin, yetkisiz yedekleme ve başka bir kasaya geri yükleme yoluyla), anahtarı hemen devre dışı bırakmayın veya silmeyin. Geri yüklenen bir kopya kaynak kasadan tamamen bağımsızdır, bu nedenle özgün kopyanın devre dışı bırakılması, silinmesi veya temizlenmesi geri yüklenen kopyaları geçersiz kılmaz. Aynı zamanda anahtarı devre dışı bırakmak veya silmek tüm bağımlı hizmetleri çevrimdışına alır (Azure SQL TDE, Azure Depolama SSE, Azure Disk Şifrelemesi ve diğerleri).

Bunun yerine, ihlali kontrol altına alın, temiz bir kasada yeni bir anahtara geçin, tüm bağımlı hizmetleri taşıyın ve yalnızca güvenliği ihlal edilmiş anahtarı devre dışı bırakın. Adım adım olay yanıtı yordamının tamamı için bkz . Yedekleme güvenlik konuları. Anahtar döndürme yordamları için bkz. Azure Key Vault'ta şifreleme anahtarı otomatik döndürmeyi yapılandırma.

Yetkisiz anahtar sızdırmayı erken algılamak için, işlemleri için KeyBackup Anahtar Kasası denetim günlüklerini izleyin ve KeyRestore beklenmeyen etkinlik durumunda uyarı verin. Daha fazla bilgi için bkz. Azure Key Vault günlüğü.

Kendi Anahtarını Getir (BYOK)

Kendi anahtarlarınızı Key Vault içeri aktarırken güvenlikle ilgili en iyi yöntemleri izleyin:

  • Güvenli anahtar oluşturmayı kullanma: Uyumluluk gereksinimlerinizi karşılayan desteklenen bir şirket içi HSM'de anahtar oluşturma
  • Aktarım sırasında anahtarları koruma: Anahtarları güvenli bir şekilde aktarmak için Key Vault BYOK işlemini kullanın. Bkz. HSM korumalı anahtarları Key Vault'a (BYOK) aktarma
  • Anahtar içeri aktarmayı doğrulama: İçeri aktarma işleminden sonra anahtar özniteliklerini ve izinlerini doğrulama
  • Anahtar kaynağının korunması: İçeri aktarılan anahtarların kaynağını ve aktarım yöntemini belgelendirin

BYOK hakkında daha fazla bilgi için bkz. Key Vault için HSM ile korunan anahtarları içe aktarma.

Anahtar sürümü ve doğrulama

Güvenilir ortamlara anahtar yayını gerektiren senaryolar için:

  • Anahtar yayın ilkelerini kullanma: Anahtarların Key Vault'dan ne zaman serbest bırakılabileceğini denetlemek için kanıtlama tabanlı sürüm ilkelerini yapılandırma
  • Kanıtlamayı doğrulama: Anahtarları yayınlamadan önce istekte bulunan ortamların geçerli bir kanıtlama sağladığından emin olun
  • Anahtar açılmalarını denetleme: Tüm anahtar açılma işlemlerini izleme ve günlüğe kaydetme

Anahtar yayınlama hakkında daha fazla bilgi için bkz. Azure Key Vault anahtar yayınlama.

İzleme ve denetleme

Yetkisiz erişimi veya şüpheli desenleri algılamak için anahtar kullanımını izleyin:

  • Tanılama günlüğünü etkinleştirme: Güvenlik analizi için tüm anahtar işlemlerini günlüğe kaydetme. Bkz. Azure Key Vault günlüğü
  • Temel işlemleri izleme: Temel kullanım desenleri oluşturmak için şifreleme, şifre çözme, imzalama ve doğrulama işlemlerini izleme
  • Uyarıları ayarlama: Azure Monitor uyarılarını yapılandırma:
    • Olağan dışı anahtar erişim desenleri
    • Başarısız anahtar işlemleri
    • Anahtar silmeler veya değişiklikler
    • Son kullanma tarihi yaklaşan anahtar

Azure Key Vault için İzleme ve uyarıya bakın.

Anahtarın geçerlilik süresi bitimi

Uygun olduğunda anahtarların son kullanma tarihlerini ayarlayın:

  • Geçici anahtarlar için süre sonunu ayarlama: Sınırlı zaman için kullanılan anahtarların son kullanma tarihleri olmalıdır
  • Süresi dolan anahtarları izleme: Anahtarların süresi dolmadan önce uyarı almak için Event Grid bildirimlerini kullanın. Event Grid kaynağı olarak Azure Key Vault'u görün
  • Anahtar yenilemeyi otomatikleştirme: Süre dolmadan önce anahtarları döndürmek için otomatik işlemler uygulama

Sonraki Adımlar

  • Last updated on