加密是確保 Microsoft Azure 中資料隱私、合規性和資料主權的重要步驟。 其也是許多企業最重要的安全性考量之一。 本節涵蓋加密和金鑰管理的設計考慮和建議。
設計考量
在套用至 Azure Key Vault 時設定訂用帳戶和調整限制。
Key Vault 具有密鑰和秘密的交易限制。 若要在特定時間內對每個保存庫進行交易節流,請參閱 Azure 限制。
Key Vault 提供安全性界限,因為密鑰、秘密和憑證的訪問許可權位於保存庫層級。 金鑰保管庫存取原則指派會將許可權分別授與密鑰、機密或憑證。 它們不支援更細微的物件層級許可權,例如特定密鑰、秘密或憑證 密鑰管理。
視需要隔離應用程式特定和工作負載特定的秘密和共用秘密,以 控制存取。
優化需要 HSM 保護的進階 SKU(硬體安全性模組)金鑰。
基礎 HSM 符合 FIPS 140-2 層級 2 規範。 考慮支援的情境,管理 FIPS 140-2 層級 3 合規性的 Azure 專用 HSM。
管理金鑰輪替和秘密到期。
使用 Key Vault 憑證 來管理憑證採購和簽署。 設定警示、通知和自動憑證更新。
設定金鑰、憑證和秘密的災害復原需求。
設定 Key Vault 服務複寫和故障轉移功能。 設定 可用性和備援。
監視金鑰、憑證和秘密使用方式。
使用金鑰保存庫或 Azure 監視器 Log Analytics 工作區偵測未經授權的存取。 如需詳細資訊,請參閱 監視和警示 Azure Key Vault。
委派 Key Vault 的實例化和特權存取。 如需詳細資訊,請參閱 Azure Key Vault 安全性。
設定使用客戶自控金鑰進行原生加密機制的需求,例如 Azure 記憶體加密:
- 客戶管理的金鑰
- 虛擬機器(VM)的全磁碟加密
- 傳輸中的數據加密
- 靜態數據加密
檢視 如何選擇合適的 Azure 金鑰管理解決方案 ,為您的組織與應用程式選擇合適的金鑰管理方法。
設計建議
使用同盟的 Azure Key Vault 模型來避免交易規模限制。
Azure RBAC 是 Azure Key Vault 數據平面的建議授權系統。 如需詳細資訊,請參閱 Azure 角色型訪問控制 (Azure RBAC) 與存取原則 (舊版)。
布建已啟用虛刪除和清除原則的 Azure Key Vault,以允許已刪除物件的保留保護。
將授權限制為永久刪除密鑰、秘密和憑證,以特製化自定義Microsoft Entra 角色,以遵循最低許可權模型。
使用公用憑證機構自動化憑證管理和續期過程,以簡化管理工作。
建立金鑰和憑證輪替的自動化程式。
在保存庫上啟用防火牆和虛擬網路服務端點,以控制密鑰保存庫的存取。
使用平臺集中的 Azure 監視器 Log Analytics 工作區,稽核 Key Vault 每個實例內的密鑰、憑證和秘密使用量。
委派 Key Vault 具現化和特殊許可權存取,並使用 Azure 原則來強制執行一致的相容設定。
預設為Microsoft管理密鑰,以取得主體加密功能,並在必要時使用客戶管理的密鑰。
除非使用受管理的 HSM 實例,否則不要使用集中式的 Key Vault 實例來管理應用程式金鑰或秘密。
- 擁有多個鑰匙庫:
- 在發生安全漏洞時減少影響範圍,並降低配置錯誤的風險。
- 透過降低存取金鑰與機密的應用程式延遲,並降低噪音鄰居導致的限制,提升效能。
- 透過將金鑰庫與應用程式或工作負載邊界對齊,簡化管理。
- 擁有多個鑰匙庫:
為了避免跨環境共用秘密,請勿在應用程式之間共用 Key Vault 實例。