共用方式為


適用於 金鑰保存庫的 Azure 安全性基準

此安全性基準會將 Microsoft 雲端安全性基準 1.0 版的指引套用至 金鑰保存庫。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依 Microsoft 雲端安全性效能評定所定義的安全性控件,以及適用於 金鑰保存庫 的相關指引分組。

您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則 定義將會列在雲端入口網站 Microsoft Defender 的 [法規合規性] 區段中。

當功能有相關的 Azure 原則 定義時,這些定義會列在此基準中,以協助您測量 Microsoft 雲端安全性基準控件和建議的合規性。 某些建議可能需要付費 Microsoft Defender 方案,才能啟用特定安全性案例。

注意

已排除不適用於 金鑰保存庫的功能。 若要查看 金鑰保存庫 如何完全對應至 Microsoft 雲端安全性效能評定,請參閱完整的 金鑰保存庫 安全性基準對應檔案

安全性配置檔

安全性配置檔摘要說明 金鑰保存庫 的高影響行為,這可能會導致安全性考慮增加。

服務行為屬性
產品類別 安全性
客戶可以存取 HOST / OS 無存取權
服務可以部署到客戶的虛擬網路
儲存待用客戶內容

網路安全性

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:網路安全性

NS-1:建立網路分割界限

功能

虛擬網路整合

描述:服務支援部署到客戶的私人 虛擬網路 (VNet) 。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:Azure 金鑰保存庫 支援虛擬網路服務端點,可讓您限制密鑰保存庫存取指定的虛擬網路。

參考Azure 金鑰保存庫 網路安全性

網路安全組支援

描述:服務網路流量會遵守其子網上的網路安全組規則指派。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:使用網路安全組 (NSG) 來限制或監視埠、通訊協定、來源 IP 位址或目的地 IP 位址的流量。 建立 NSG 規則來限制服務的開放連接埠 (例如防止從不受信任的網路存取管理連接埠)。 請注意,NSG 預設會拒絕所有輸入流量,但允許來自虛擬網路和 Azure Load Balancer 的流量。

NS-2:使用網路控制保護雲端服務

功能

描述:用於篩選網路流量的服務原生IP篩選功能, (不會與NSG或 Azure 防火牆) 混淆。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:為 Azure 金鑰保存庫 部署私人端點,以建立資源的私人存取點。

參考Azure 金鑰保存庫 Private Link

停用公用網路存取

描述:服務支援使用服務層級IP ACL篩選規則來停用公用網路存取, (非 NSG 或 Azure 防火牆) 或使用 [停用公用網络存取] 切換開關。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:使用 Azure 金鑰保存庫 防火牆 IP 篩選規則停用公用網路存取。

參考Azure 金鑰保存庫 網路安全性

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.KeyVault

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
Azure Key Vault 應該啟用防火牆 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 您可以選擇性地設定特定的IP範圍,以限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1

身分識別管理

如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:身分識別管理

IM-1:使用集中式身分識別和驗證系統

功能

資料平面存取所需的 Azure AD 驗證

描述:服務支援使用 Azure AD 驗證進行數據平面存取。 深入瞭解

支援 默認為啟用 設定責任
Microsoft

設定指引:在預設部署上啟用此設定時,不需要任何其他設定。

參考Azure 金鑰保存庫 驗證

資料平面存取的本機驗證方法

描述:支持數據平面存取的本機驗證方法,例如本機使用者名稱和密碼。 深入瞭解

支援 默認為啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

IM-3:安全且自動地管理應用程式身分識別

功能

受控識別

描述:數據平面動作支援使用受控識別進行驗證。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:盡可能使用 Azure 受控識別,而不是服務主體,它可以向支援 Azure Active Directory 的 Azure 服務和資源進行驗證, (Azure AD) 驗證。 受控識別認證完全受平台管理、輪替和保護,且避開原始程式碼或組態檔中的硬式編碼認證。

參考Azure 金鑰保存庫 驗證

服務主體

描述:數據平面支援使用服務主體進行驗證。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

其他指引:建議使用受控識別,而不是服務主體。 使用服務主體時,請限制使用案例的使用案例,其中需要非使用者型存取,且不支援受控識別,例如自動化流程或第三方系統整合。

參考Azure 金鑰保存庫 驗證

IM-7:根據條件限制資源存取

功能

資料平面的條件式存取

描述:您可以使用 Azure AD 條件式存取原則來控制數據平面存取。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:在工作負載中定義 Azure Active Directory (Azure AD) 條件式存取適用的條件和準則。 請考慮常見的使用案例,例如封鎖或授與來自特定位置的存取權、封鎖具風險的登入行為,或要求特定應用程式的組織管理的裝置。

參考Azure 金鑰保存庫 條件式存取

IM-8:限制認證和祕密的公開

功能

Azure Key Vault 中服務認證和秘密支援整合和儲存

描述:數據平面支援原生使用 Azure 金鑰保存庫 進行認證和秘密存放區。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:確定秘密和認證會儲存在 Azure 金鑰保存庫 等安全位置,而不是將它們內嵌到程式代碼或組態檔中。

參考關於 Azure 金鑰保存庫 秘密

特殊權限存取

如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:特殊許可權存取

PA-1:劃分和限制高度權限/系統管理使用者

功能

本機 管理員 帳戶

描述:服務具有本機系統管理帳戶的概念。 深入瞭解

支援 默認為啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

PA-7:受保護的系統管理員

功能

適用於數據平面的 Azure RBAC

描述:Azure Role-Based 存取控制 (Azure RBAC) 可用來管理服務數據平面動作的存取權。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:使用 Azure 角色型訪問控制 (Azure RBAC) ,透過內建角色指派來管理 Azure 資源存取。 Azure RBAC 角色可以指派給使用者、群組、服務主體和受控識別。

參考Azure 金鑰保存庫 RBAC 支援

資料保護

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:數據保護

DP-3:加密傳輸中的敏感性資料

功能

傳輸中資料加密

描述:服務支持數據平面的數據傳輸中加密。 深入瞭解

支援 默認啟用 設定責任
Microsoft

設定指引:預設部署上啟用此設定時不需要其他設定。

其他指引:不需要其他設定,因為 Azure 平臺會管理此設定

參考Azure 金鑰保存庫 安全性功能

DP-4:預設啟用待用資料加密

功能

使用平臺密鑰進行待用加密的數據

描述:支援使用平臺密鑰進行待用數據加密,任何待用客戶內容都會使用這些 Microsoft 管理的金鑰進行加密。 深入瞭解

支援 默認啟用 設定責任
Microsoft

設定指引:預設部署上啟用此設定時不需要其他設定。

參考Azure 金鑰保存庫 安全儲存秘密和金鑰

DP-5:必要時在待用資料加密中使用客戶自控金鑰選項

功能

使用 CMK 進行待用資料加密

描述:服務所儲存的客戶內容支援使用客戶自控密鑰的數據待用加密。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:Azure 金鑰保存庫 是您將密鑰儲存在客戶管理的密鑰 (CMK) 加密的位置。 您可以選擇使用受軟體保護的金鑰或 HSM (硬體安全性模組,) 受 CMK 解決方案保護的金鑰。

注意:如需客戶管理的密鑰和 HSM 詳細數據,請參閱: https://techcommunity.microsoft.com/t5/azure-confidential-computing/azure-key-vault-managed-hsm-control-your-data-in-the-cloud/ba-p/3359310

參考Azure 金鑰保存庫 安全儲存秘密和金鑰

DP-6:使用安全金鑰管理程序

功能

Azure Key Vault 中的金鑰管理

描述:此服務支援任何客戶密鑰、秘密或憑證的 Azure 金鑰保存庫 整合。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:遵循 Azure 金鑰保存庫 最佳做法,安全地管理密鑰保存庫中的密鑰生命週期。 這包括金鑰產生、散發、記憶體、輪替和撤銷。

參考Azure 金鑰保存庫 金鑰管理

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.KeyVault

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
Key Vault 金鑰應具有到期日 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 Audit, Deny, Disabled 1.0.2

DP-7:使用安全的憑證管理程序

功能

Azure Key Vault 中的憑證管理

描述:服務支援任何客戶憑證的 Azure 金鑰保存庫 整合。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:遵循 Azure 金鑰保存庫 最佳做法,安全地管理密鑰保存庫中的憑證生命週期。 這包括金鑰建立/匯入、輪替、撤銷、記憶體,以及憑證清除。

參考Azure 金鑰保存庫 憑證管理

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.KeyVault

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
憑證應具有指定的有效期間上限 藉由指定憑證在金鑰保存庫中的有效期間上限,來管理組織的合規性需求。 audit, Audit, deny, Deny, Deny, disabled, Disabled 2.2.1

資產管理

如需詳細資訊,請參閱 Microsoft 雲端安全性基準檢驗:資產管理

AM-2:僅使用核准的服務

功能

Azure 原則支援

描述:服務組態可以透過 Azure 原則 進行監視和強制執行。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:使用 Microsoft Defender for Cloud 來設定 Azure 原則,以稽核及強制執行 Azure 金鑰保存庫 的設定。 使用 Azure 監視器,在偵測到資源有設定偏差時建立警示。 使用 Azure 原則 [deny] 和 [如果不存在]效果來強制執行跨 Azure 資源的安全設定。

參考Azure 金鑰保存庫 原則

記錄和威脅偵測

如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:記錄和威脅偵測

LT-1:啟用威脅偵測功能

功能

適用於服務/產品供應項目的 Microsoft Defender

描述:服務具有供應專案特定的 Microsoft Defender 解決方案,可監視和警示安全性問題。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:針對 金鑰保存庫 啟用 Microsoft Defender,當您從 Microsoft Defender 取得 金鑰保存庫 警示時,請調查並回應警示。

參考適用於 Azure 金鑰保存庫 的 Microsoft Defender

LT-4:啟用安全性調查的記錄

功能

Azure 資源記錄

描述:服務會產生可提供增強服務特定計量和記錄的資源記錄。 客戶可以設定這些資源記錄,並將其傳送至自己的數據接收,例如記憶體帳戶或記錄分析工作區。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:為您的金鑰保存庫啟用資源記錄。 Azure 金鑰保存庫 的資源記錄可以記錄金鑰作業活動,例如密鑰建立、擷取和刪除。

參考Azure 金鑰保存庫 記錄

備份與復原

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:備份和復原

BR-1:確保定期自動備份

功能

Azure 備份

描述:服務可由 Azure 備份 服務備份。 深入瞭解

支援 默認為啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

服務原生備份功能

描述:若未使用 Azure 備份) ,服務支援其本身的原生備份功能 (。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

其他指引:使用 Azure 金鑰保存庫 原生備份功能來備份秘密、金鑰和憑證,並確保服務可以使用備份數據復原。

參考Azure 金鑰保存庫 備份

下一步