Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les clés Azure Key Vault protègent les clés de chiffrement utilisées pour les opérations de chiffrement, de signatures numériques et d’habillage de clé. Cet article fournit des recommandations de sécurité spécifiques à la gestion des clés de chiffrement.
Note
Cet article se concentre sur les pratiques de sécurité spécifiques aux clés Key Vault. Pour obtenir des conseils complets sur la sécurité de Key Vault, notamment la sécurité réseau, la gestion des identités et des accès et l’architecture du coffre, consultez Sécuriser votre coffre de clés Azure.
Types de clés et niveaux de protection
Azure Key Vault prend en charge différents types de clés avec différents niveaux de protection. Choisissez le type de clé approprié en fonction de vos exigences de sécurité :
Clés protégées par logiciel (RSA, EC) : clés protégées par le logiciel validé FIPS 140-2 niveau 1. Adapté à la plupart des applications nécessitant des opérations de chiffrement et de signature.
Clés protégées par HSM (RSA-HSM, EC-HSM) : clés protégées par les modules de sécurité matériel validés FIPS 140-2 de niveau 2. Recommandé pour les scénarios à haute sécurité nécessitant une protection de clé sauvegardée par le matériel.
Clés de HSM managé : clés dans des pools HSM dédiés, à locataire unique, avec du matériel validé FIPS 140‑2 Niveau 3. Requis pour les exigences de sécurité et de conformité les plus élevées.
Pour plus d’informations sur les types de clés, consultez À propos des clés Azure Key Vault.
Utilisation et gestion des clés
Limitez les opérations clés uniquement à celles requises pour votre application afin de réduire la surface d’attaque :
- Limiter les opérations de clé : accorder uniquement les autorisations nécessaires (chiffrer, déchiffrer, signer, vérifier, wrapKey, unwrapKey)
-
Utilisez les tailles de clé appropriées :
- Clés RSA : Utilisez au minimum 2048 bits, et 4096 bits pour les scénarios de haute sécurité.
- Clés EC : Utiliser des courbes P-256, P-384 ou P-521 en fonction des exigences de sécurité
- Clés distinctes par objectif : utilisez différentes clés pour le chiffrement et les opérations de signature pour limiter l’impact si une clé est compromise
Pour plus d’informations sur les opérations de clé, consultez Opérations de clé dans Key Vault.
Rotation des clés et contrôle de version
Implémentez une rotation régulière des clés pour limiter l’exposition des clés compromises :
- Activer la rotation automatique des clés : configurez des stratégies de rotation automatique pour faire pivoter les clés sans temps d’arrêt de l’application. Voir Configurer l’autorotation de clé
- Définir la fréquence de rotation : faire pivoter les clés de chiffrement au moins une fois par an ou plus fréquemment en fonction des exigences de conformité
- Utiliser le contrôle de version de clé : Key Vault versions automatiquement les clés, ce qui permet une rotation transparente sans rompre les données chiffrées existantes
- Planifier le rechiffrement : pour les données à long terme, implémentez des stratégies pour rechiffrer des données avec de nouvelles versions de clé
Pour plus d’informations sur la rotation, consultez Configurer l’autorotation de clé de chiffrement dans Azure Key Vault.
Sauvegarde et récupération de clés
Protégez-vous contre la perte de données en implémentant des procédures de sauvegarde et de récupération appropriées :
- Activer la suppression réversible : la suppression réversible autorise la récupération des clés supprimées dans une période de rétention (7 à 90 jours). Voir Vue d’ensemble de la suppression réversible d’Azure Key Vault
- Activer la protection contre la purge : empêcher la suppression définitive de clés pendant la période de rétention. Voir Protection contre le vidage
- Sauvegarder des clés critiques : exportez et stockez en toute sécurité des sauvegardes de clés qui protègent les données irremplaçables. Consultez la sauvegarde Azure Key Vault
- Procédures de récupération de documents : Gérer les runbooks pour les scénarios de récupération clés
Bring Your Own Key (BYOK)
Lors de l’importation de vos propres clés dans Key Vault, suivez les meilleures pratiques de sécurité :
- Utiliser la génération de clés sécurisées : générer des clés dans les modules HSM fiPS 140-2 de niveau 2 ou supérieur
- Protéger les clés pendant le transfert : utilisez le processus BYOK de Key Vault pour transférer en toute sécurité les clés. Voir Importer des clés protégées par HSM dans Key Vault (BYOK)
- Valider l’importation de clé : vérifier les attributs et autorisations clés après l’importation
- Conserver la provenance des clés : documenter l’origine et la méthode de transfert des clés importées
Pour plus d’informations sur BYOK, consultez Importer des clés protégées par HSM pour Key Vault.
Délivrance et attestation de clé
Pour les scénarios nécessitant une délivrance de clé dans des environnements approuvés :
- Utiliser des stratégies de mise en production de clés : configurer des stratégies de mise en production basées sur l’attestation pour contrôler quand les clés peuvent être libérées de Key Vault
- Vérifier l’attestation : vérifiez que les environnements demandeurs fournissent une attestation valide avant de libérer des clés
- Audit des libérations de clés : surveiller et journaliser toutes les opérations de libération de clé
Pour plus d’informations sur la publication de clés, consultez Publication de clés Azure Key Vault.
Supervision et audit
Suivez l’utilisation des clés pour détecter les modèles suspects ou d’accès non autorisés :
- Activer la journalisation des diagnostics : journaliser toutes les opérations clés pour l’analyse de sécurité. Voir la journalisation de Azure Key Vault
- Surveiller les opérations de clé : suivre les opérations de chiffrement, de déchiffrement, de signature et de vérification pour établir des modèles d’utilisation de référence
-
Configurer des alertes : Configurer des alertes Azure Monitor pour :
- Modèles d’accès à clé inhabituels
- Échec des opérations de clé
- Suppressions ou modifications de clés
- La clé approche de l'expiration.
See Surveillance et alertes pour Azure Key Vault.
Expiration des clés
Définissez les dates d’expiration des clés le cas échéant :
- Définir l’expiration des clés temporaires : les clés utilisées à des fins limitées dans le temps doivent avoir des dates d’expiration
- Surveiller les clés arrivant à expiration : utilisez les notifications Event Grid pour alerter avant l’expiration des clés. Voir Azure Key Vault comme source Event Grid
- Automatiser le renouvellement des clés : implémenter des processus automatisés pour faire pivoter des clés avant l’expiration
Articles de sécurité connexes
- Sécuriser votre coffre de clés Azure - Conseils complets sur la sécurité de Key Vault
- Sécuriser vos secrets Azure Key Vault - Meilleures pratiques de sécurité pour les secrets
- Sécuriser vos certificats Azure Key Vault - Bonnes pratiques de sécurité pour les certificats