Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Yönetilen HSM, bulut uygulamalarınız için FIPS 140-3 Düzey 3 doğrulanmış şifreleme anahtarı koruması sağlayan, tam olarak yönetilen, yüksek oranda kullanılabilir, tek kiracılı bir Donanım Güvenlik Modülü (HSM) hizmetidir. Yönetilen HSM en hassas şifreleme anahtarlarınızı ve gizli dizilerinizi koruduğundan, tehditlere karşı koruma sağlamak ve iş sürekliliğini korumak için kapsamlı güvenlik denetimleri uygulamak çok önemlidir.
Bu makalede, Azure Yönetilen HSM dağıtımınızın korunmasına yardımcı olacak güvenlik önerileri sağlanır.
Bu makaledeki güvenlik önerileri Sıfır Güven ilkelerini uygular: "Açıkça doğrula", "En az ayrıcalık erişimi kullan" ve "İhlal varsay". Kapsamlı Sıfır Güven kılavuzu için bkz. Sıfır Güven Kılavuzu Merkezi.
Hizmete özgü güvenlik
Hizmete özgü güvenlik, donanım düzeyinde koruma, FIPS uyumluluğu ve bunu diğer Azure hizmetlerinden ayıran özelleştirilmiş şifreleme işlemleri de dahil olmak üzere Yönetilen HSM'nin benzersiz özelliklerini ele alır.
Mevzuat uyumluluğu için kendi anahtarınızı getirme (BYOK) uygulayın: Mevzuat gereksinimleri belirli anahtar oluşturma yöntemlerini zorunlu kıldığında, BYOK kullanarak şirket içi HSM'lerden HSM korumalı anahtarları içeri aktarabilirsiniz. BYOK, aktarım işlemi sırasında anahtarların HSM sınırları dışında düz metin biçiminde hiçbir zaman var olmamasını sağlar. Bkz. HSM korumalı anahtarları Yönetilen HSM'ye (KAG) aktarma.
Doğru anahtar kanıtlama yordamlarını uygulama: Anahtarların FIPS 140-3 Düzey 3 donanım sınırları içinde oluşturulduğunu ve işlendiğini kanıtlamak için anahtar kanıtlama özelliklerini kullanın. Anahtar kanıtlama, yüksek güvenlik gerektiren senaryolar için anahtarın kökenine dair şifreleme kanıtı sağlar. Bkz Anahtar Doğrulama.
İş sürekliliği için bölgeler arası çoğaltmayı yapılandırma: Yönetilen HSM'nizi birincil bölgeden genişletilmiş bölgeye genişletmek ve otomatik çoğaltma ile etkin-etkin dağıtım sağlamak için çok bölgeli çoğaltmayı etkinleştirin. Her iki bölge de isteklere hizmet verebilir ve Traffic Manager istekleri kullanılabilir en yakın bölgeye yönlendirerek SLA'yı birleştirilmiş% 99,99'a yükseltebilir. Bkz. Çok bölgeli çoğaltma.
Azure Resource Manager anahtar yönetimi erişimini denetleme: Yönetilen HSM, standart Key Vault'un aksine varsayılan olarak Azure Resource Manager'a güvenmez. Ortamınız portal tabanlı veya ARM şablonu anahtar yönetimi gerektiriyorsa, ayarı açıkça etkinleştirin
AllowKeyManagementOperationsThroughARM. ARM güveninin risk olarak kabul edildiği daha yüksek güvenceli ortamlar için bu ayarı devre dışı bırakın. Bkz. Azure Resource Manager aracılığıyla anahtar yönetimi işlemlerine izin verme.
Ağ güvenliği
Ağ güvenliği, güvenli bağlantı ve ağ erişim denetimleri aracılığıyla Yönetilen HSM'nizi korur. Bu ağ güvenlik özellikleri, en kısıtlı özelliklerden en az kısıtlanmış özelliklere göre listelenir. Kuruluşunuzun kullanım örneğine en uygun yapılandırmayı seçin. Tüm ağ güvenlik yapılandırmaları hakkında ayrıntılı bilgi için bkz. Azure Key Vault Yönetilen HSM için ağ güvenliği.
Genel ağ erişimini devre dışı bırakın ve yalnızca Özel Uç Noktaları kullanın: Sanal ağınızda özel bir uç nokta oluşturarak Yönetilen HSM örneğine özel, güvenli bağlantı kurmak için Azure Özel Bağlantı'yı dağıtın. Genel ağ erişimini devre dışı bırakmak, Yönetilen HSM'nizi genel ağ erişimini reddedecek şekilde yapılandırarak genel IP adreslerinden erişimi engeller. Bu yapılandırma, genel İnternet'e erişimi engeller ve tüm trafiği Microsoft omurga ağı üzerinden yönlendirir. Bkz. Yönetilen HSM'yi Azure Özel Bağlantı ile tümleştirme.
Yönetilen HSM güvenlik duvarını güvenilen hizmetlerle yapılandırma: Yönetilen HSM güvenlik duvarı kurallarını genel İnternet erişimini reddedecek şekilde yapılandırırken, senaryonuzun gerektirdiği durumlarda belirli güvenilen Azure hizmetlerine
--bypass AzureServicesizin verin. Bu yapılandırma, gerekli hizmet tümleştirmelerini korurken saldırı yüzeyini kısıtlar. Tüm ayrıntılar için bkz . Ağ güvenliği: Yönetilen HSM Güvenlik Duvarı Etkin (Güvenilen Hizmetler).IP Ağ Güvenlik Duvarı'nı etkinleştirme: Ağ senaryoları denetimli genel erişim gerektirdiğinde genel statik IP adreslerine erişimi sınırlayın. Tüm ayrıntılar için bkz . Ağ güvenliği: Yönetilen HSM Güvenlik Duvarı Etkin (IP Ağ Güvenlik Duvarı).
Adım adım yapılandırma yönergeleri için bkz. Azure Yönetilen HSM ağ ayarlarını yapılandırma.
Kimlik ve erişim yönetimi
Kimlik ve erişim yönetimi, Yönetilen HSM kaynaklarınızda kimlik doğrulaması ve yetkilendirmenin güvenliğini sağlar. Yönetilen HSM, denetim düzlemi ve veri düzlemi işlemleri için farklı yetkilendirme sistemlerine sahip bir çift düzlemli erişim modeli kullanır.
Veri düzlemi erişimi için Yönetilen HSM yerel RBAC'yi uygulama: HSM içindeki anahtarlara ve şifreleme işlemlerine erişimi denetlemek için Yönetilen HSM yerel RBAC kullanın. Bu yetkilendirme sistemi Azure RBAC'den bağımsız olarak çalışır ve anahtar işlemleri, rol atamaları ve güvenlik etki alanı yönetimi için ayrıntılı izinler sağlar. Bkz. Yönetilen HSM için erişim denetimi.
Uygulama erişimi için yönetilen kimlikleri etkinleştirme: Uygulamaların kimlik bilgilerini kod veya yapılandırma dosyalarında depolamadan Yönetilen HSM'de kimlik doğrulaması yapabilmesi için sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimlikleri yapılandırın. Yönetilen kimlikler Microsoft Entra ID ile tümleşir ve kimlik bilgisi yenilemeyi otomatik olarak yönetir. Bkz. Yönetilen HSM için erişim denetimi.
En az ayrıcalıklı erişimi uygun kapsamlarla uygula: Geniş erişim için ya HSM düzeyinde (
/veya/keys) ya da belirli anahtar erişimi için anahtar düzeyinde (/keys/<key-name>) en kısıtlayıcı kapsamda izinler verin. Gerekli işlemlere dayalı olarak Yönetilen HSM Şifreleme Yetkilisi, Yönetilen HSM Şifreleme Kullanıcısı veya Yönetilen HSM Şifreleme Denetçisi gibi yerleşik rolleri kullanın. Bkz. Yönetilen HSM için erişim denetimi.Güvenlik gruplarına HSM Yöneticisi rolü atama: Kullanıcı hesapları silinirse yanlışlıkla kilitlenmeyi önlemek için tek tek kullanıcılar yerine Microsoft Entra güvenlik gruplarına HSM Yöneticisi rolü verin. Bu yaklaşım izin yönetimini basitleştirir ve HSM sağlama işlemi sırasında yönetim erişiminin sürekliliğini sağlar. Bkz. Yönetilen HSM için erişim denetimi.
Yönetici rolleri için Privileged Identity Management'ı etkinleştirme: Yönetilen HSM Yöneticisi gibi yüksek ayrıcalıklı roller için tam zamanında erişimi zorunlu kılmak için Microsoft Entra Privileged Identity Management'ı (PIM) kullanın. PIM, yönetim ayrıcalıklarının devam etme riskini azaltır ve yükseltilmiş erişim için onay iş akışları sağlar. Bkz. Yönetilen HSM için erişim denetimi.
Ayrı denetim düzlemi ve veri düzlemi erişimi: HSM kaynaklarını yönetmek için denetim düzlemi erişiminin (Azure RBAC) anahtarlara veri düzlemi erişimi vermediğini anlayın. Anahtar işlemleri gerçekleştirmesi gereken kullanıcılara Yönetilen HSM yerel RBAC aracılığıyla veri düzlemi rollerini açıkça atayın. Bkz. Yönetilen HSM için erişim denetimi.
Veri koruma
Veri koruması şifreleme, anahtar yönetimi ilkeleri ve güvenli depolama uygulamaları aracılığıyla yönetilen HSM'de depolanan şifreleme anahtarlarını ve hassas verileri korur. Uygun veri koruması, önemli malzemenin gizli kalmasını ve kurcalamaya karşı dayanıklı kalmasını sağlar.
Güvenlik etki alanı için çok kişili yönetim uygulama: HSM kurtarma üzerinde tek kişi kontrolünü önlemek amacıyla birden fazla RSA anahtar çifti (önerilen en az üç) ile bir güvenlik etki alanı karar yeter sayısı yapılandırın. Bir karar yeter sayısı eşiği belirtin ki bu, birden çok anahtar sahibinin güvenlik etki alanı şifresini çözmek için işbirliği yapmalarını gerektirir ve hiçbir bireyin HSM'yi tehlikeye atamayacağını garanti eder. Bkz . Güvenlik etki alanına genel bakış.
Güvenlik etki alanı anahtarlarını güvenli konumlarda çevrimdışı depolama: Güvenlik etki alanı özel anahtarlarını, fiziksel kasalar veya kilit kutuları içinde ayrı coğrafi konumlarda depolanan şifrelenmiş USB sürücüleri gibi şifrelenmiş, çevrimdışı depolama cihazlarında saklayın. Siber tehditlere maruz kalmayı azaltmak ve ağdan izole edilmiş güvenlik sağlamak için hiçbir zaman güvenlik etki alanı anahtarlarını internete bağlı bilgisayarlarda depolamayın. Bkz . Güvenlik etki alanına genel bakış.
Güvenlik etki alanı anahtar yönetimi yordamları oluşturma: Personel değişiklikleri gerçekleştiğinde veya anahtarların güvenliği aşılmış olabileceğinde güvenlik etki alanı anahtarı saklamanın düzenli olarak gözden geçirilmesi için ilkeler uygulayın. Güvenlik etki alanı sahibi sorumluluklarını belgelendirir, önemli konumların ve saklama süreçlerinin doğru kayıtlarını tutar ve felaket kurtarma senaryoları için gereken asgari çoğunluğun bir araya getirilmesini sağlar. Bkz . Güvenlik etki alanına genel bakış.
HSM ve anahtarlar için temizleme korumasını etkinleştirin: Saklama süresi dolmadan önce HSM'nin veya tek tek anahtarların kalıcı olarak silinmesini önlemek için temizleme korumasını yapılandırın. Bu denetim, yanlışlıkla veya kötü amaçlı silmeye karşı koruma sağlar ve kritik işlemler için bir kurtarma penceresi sağlar. Bkz Soft-delete genel bakışına.
Uygun geçici silme saklama sürelerini yapılandırma: Kurtarma gereksinimlerinize ve uyumluluk gereksinimlerinize göre geçici silme saklama sürelerini 7 ila 90 gün arasında ayarlayın. Daha uzun saklama süreleri daha fazla kurtarma süresi sağlar, ancak veri yerleşimi gereksinimleriyle çakışabilir. Bkz Soft-delete genel bakışına.
Otomatik anahtar döndürmeyi yapılandırma: El ile müdahale olmadan düzenli olarak yeni anahtar sürümleri oluşturmak için otomatik anahtar döndürme ilkelerini ayarlayın. Yönetilen HSM, en az 28 günlük döndürme aralığına sahip oluşturma tabanlı ve süre sonu tabanlı döndürme tetikleyicilerini destekler. Otomatik anahtar döndürme, şifreleme anahtarlarının en az iki yılda bir döndürülmesini öneren şifreleme en iyi yöntemlerini karşılamaya yardımcı olur. Bkz Azure Yönetilen HSM'de anahtar otomatik döndürmeyi yapılandırma.
Kayıt ve izleme
Loglama ve izleme, HSM erişim desenleri ve işlemlerine görünürlük sağlayarak tehdit tespiti ve uyumluluk raporlamasını etkinleştirir. Kapsamlı günlük kaydı, şüpheli etkinliklerin belirlenmesine yardımcı olur ve adli araştırmaları destekler.
Tanılama ayarlarıyla denetim günlüğünü etkinleştirme: AzureDiagnostics tablosundaki tüm kimliği doğrulanmış REST API isteklerini, anahtar işlemlerini ve güvenlik etki alanı eylemlerini yakalamak için tanılama ayarlarını yapılandırın. Saklama ve analiz gereksinimlerinize göre günlükleri Azure Depolama hesaplarına, Log Analytics çalışma alanlarına veya Event Hubs'a yönlendirin. Bkz. Yönetilen HSM günlüğü.
Azure İzleyici ve Log Analytics ile günlükleri analiz etme: ResourceProvider "MICROSOFT.KEYVAULT" ve ResourceType "MANAGEDHSMS" üzerinde filtreleme yapan KQL sorguları aracılığıyla HSM günlüklerini toplamak ve çözümlemek için Azure İzleyici'yi kullanın. Güvenlik operasyonları ekiplerinin erişim düzenlerini ve anahtar kullanımını izlemesi için özel panolar ve çalışma kitapları oluşturun. Bkz. Azure Yönetilen HSM İzlemesi.
Kritik güvenlik olayları için uyarıları yapılandırma: HSM kullanılabilirliği %100'ün altına düştüğünde, hizmet API gecikmesi eşik değerlerini aştığında, olağan dışı hata kodu desenleri görüldüğünde veya başarısız kimlik doğrulama girişimleri oluştuğunda Azure İzleyici uyarı kuralları oluşturma. Güvenlik görünürlüğünü korurken hatalı pozitifleri azaltmak için hem statik eşik hem de dinamik eşik uyarılarını yapılandırın. Bkz . Yönetilen HSM uyarılarını yapılandırma.
Gelişmiş tehdit algılama için Microsoft Sentinel ile tümleştirme: Makine öğrenmesi analizini ve Yönetilen HSM işlemlerine özgü özel algılama kurallarını kullanarak şüpheli etkinlikleri otomatik olarak algılamak için Microsoft Sentinel'i dağıtın. Güvenlik etki alanı indirmeleri, toplu anahtar işlemleri veya anormal erişim desenleri gibi hassas işlemler için analiz kuralları oluşturun. Bkz. Azure Yönetilen HSM için Microsoft Sentinel'i ayarlama.
Uygun günlük saklama ilkeleri uygulama: Uyumluluk gereksinimlerini karşılayan ve adli araştırmaları destekleyen günlük saklama süreleri oluşturun. Güvenlik olayları için yeterli araştırma özelliklerini korurken depolama maliyetlerini yönetmek için Azure İzleyici Log Analytics saklama ilkelerini kullanın. Bkz. Azure Yönetilen HSM İzlemesi.
Uyumluluk ve idare
Uyumluluk ve idare denetimleri, Yönetilen HSM dağıtımınızın otomatik ilke uygulama ve uyumluluk izleme aracılığıyla mevzuat gereksinimlerini ve kuruluş ilkelerini karşılamasını sağlar.
Anahtar idaresi için Azure İlkesi uygulama: Azure İlkesi uyumluluk taramasını etkinleştirmek için Yönetilen HSM Şifreleme Denetçisi rolünü Azure Yönetilen HSM Anahtar İdare Hizmeti'ne (Uygulama Kimliği: a1b76039-a76c-499f-a2dd-846b4cc32627) verin. Ardından, anahtar süre sonu gereksinimleri, en düşük RSA anahtar boyutları ve üç nokta eğrisi algoritması kısıtlamaları da dahil olmak üzere güvenli anahtar yapılandırmalarını denetlemek veya zorunlu kılmak için ilke kuralları tanımlayın. Bu rol ataması olmadan Azure İlkesi tam anahtar envanterinizi değerlendiremez. Bkz. Azure Yönetilen HSM'yi Azure İlkesi ile tümleştirme.
Anahtar yaşam döngüsü ve şifreleme standartlarını yapılandırma: Anahtar son kullanma tarihlerini zorunlu kılmak, güvenlik uyumluluğu için en düşük RSA anahtar boyutlarını zorunlu kılmak, üç nokta eğri şifrelemesini onaylı eğri adlarıyla (P-256, P-256K, P-384, P-521) kısıtlamak ve anahtarların döndürme yordamları için süre dolmadan önce yeterli süreye sahip olduğundan emin olmak için yerleşik Azure İlkesi tanımlarını kullanın. Bkz. Azure Yönetilen HSM'yi Azure İlkesi ile tümleştirme.
Azure İlkesi panoları aracılığıyla uyumluluğu izleme: Şifreleme güvenlik standartlarına uyumluluğu izlemek ve düzeltme gerektiren uyumlu olmayan anahtarları belirlemek için Azure İlkesi uyumluluk panolarını kullanın. Güvenlik temellerinin görünürlüğünü sağlamak ve bunlara uygunluğu zorlamak için hem denetim hem de reddetme ilke etkilerini ayarlayın. Bkz. Azure Yönetilen HSM'yi Azure İlkesi ile tümleştirme.
Yedekleme ve kurtarma
Yedekleme ve kurtarma, veri kaybına karşı koruma sağlar ve şifreleme anahtarlarının erişilebilir kalmasını sağlamak için uygun yedekleme stratejileri, olağanüstü durum kurtarma yordamları ve kurtarma testleriyle iş sürekliliği sağlar.
Normal tam HSM yedeklemeleri oluşturma: Donanım hatalarından veya işlem olaylarından veri kaybını önlemek için tüm anahtarları, sürümleri, öznitelikleri, etiketleri ve rol atamalarını içeren otomatik tam HSM yedeklemeleri zamanlayın. Kimlik bilgisi yönetimi olmadan depolama hesaplarına güvenli erişim sağlamak için yedekleme işlemleri için kullanıcı tarafından atanan yönetilen kimlikleri kullanın. Bkz . Tam yedekleme ve geri yükleme.
Kritik anahtarlar için tek tek anahtar düzeyi yedeklemeler uygulayın: Tam HSM geri yükleme işlemleri olmadan ayrıntılı kurtarmayı etkinleştirmek için komutunu kullanarak
az keyvault key backupyüksek değerli anahtarların seçmeli yedeklemelerini oluşturun. Anahtar yedeklemeleri şifrelenir ve güvenlik etki alanına şifreli olarak bağlanır, yani bunlar yalnızca aynı güvenlik etki alanını paylaşan HSM'lere geri yüklenebilir. Bkz . Tam yedekleme ve geri yükleme.Kapsamlı olağanüstü durum kurtarma yordamları hazırlama: RSA anahtar çiftlerini, yedekleme geri yükleme yordamlarını ve uygulama yeniden yapılandırma adımlarını kullanarak güvenlik etki alanı kurtarmayı içeren olağanüstü durum kurtarma planları geliştirin ve test edin. Güvenlik etki alanı dosyalarına, özel anahtarlara (asgari yeter sayısı) ve coğrafi olarak ayrı konumlarda depolanan son yedeklemelere güvenli çevrimdışı erişiminizi koruduğunuzdan emin olun. Bkz. Olağanüstü durum kurtarma kılavuzu.
Yedekleme ve geri yükleme yordamlarını düzenli olarak test etme: Güvenlik etki alanı kurtarma, yedekleme geri yükleme ve tam olağanüstü durum kurtarma iş akışını doğrulamak için üretim dışı HSM örneklerini kullanarak düzenli aralıklarla olağanüstü durum kurtarma tatbikatları gerçekleştirin. Güvenlik etki alanı oybirliği sahiplerinin kurtarma işlemlerini başarıyla gerçekleştirebilmesini kontrol eden test, ayrıca yedekleme bütünlüğünü doğrular. Bkz. Olağanüstü durum kurtarma kılavuzu.
Uygun erişim denetimleriyle güvenli yedekleme depolama alanı: HSM yedeklemelerini uygun RBAC izinleri, özel uç noktalar ve müşteri tarafından yönetilen şifreleme anahtarlarıyla yapılandırılmış Azure Depolama hesaplarında depolayın. Kullanıcı tarafından atanan yönetilen kimliği, Depolama Blobu Veri Katkıda Bulucu rolüyle yapılandırın ve kurtarma gereksinimlerini depolama maliyetleriyle dengeleyen yedekleme saklama ilkelerini uygulayın. Bkz . Tam yedekleme ve geri yükleme.
Sonraki adımlar
- Azure Yönetilen HSM nedir?
- Güvenlik etki alanına genel bakış
- Erişim denetimi
- Yönetilen HSM yerel RBAC yerleşik rolleri
- Azure Key Vault Yönetilen HSM için ağ güvenliği
- Azure Özel Bağlantı ile tümleştirme
- Yönetilen HSM günlük kaydı
- Azure İlkesi ile Entegre Et
- Anahtar otomatik döndürmeyi yapılandırma
- Tam yedekleme ve geri yükleme
- Olağanüstü durum kurtarma kılavuzu