Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Key Vault beveiligt cryptografische sleutels, certificaten (en de persoonlijke sleutels die zijn gekoppeld aan de certificaten) en geheimen (zoals verbindingsreeks s en wachtwoorden) in de cloud. Wanneer u gevoelige en bedrijfskritieke gegevens opslaat, moet u echter stappen ondernemen om de beveiliging van uw kluizen en de daarin opgeslagen gegevens te maximaliseren.
In de aanbevelingen voor beveiliging in dit artikel worden zero Trust-principes geïmplementeerd: 'Expliciet verifiëren', 'Minimale toegang tot bevoegdheden gebruiken' en 'Inbreuk aannemen'. Zie het Zero Trust Guidance Center voor uitgebreide richtlijnen voor Zero Trust.
Dit artikel bevat aanbevelingen voor beveiliging om uw Azure Key Vault-implementatie te beveiligen.
Servicespecifieke beveiliging
Azure Key Vault heeft unieke beveiligingsoverwegingen met betrekking tot kluisarchitectuur en het juiste gebruik van de service voor het opslaan van cryptografische materialen.
Key Vault-architectuur
Gebruik één Key Vault per toepassing, regio en omgeving: maak afzonderlijke Key Vaults voor ontwikkeling, preproductie en productieomgevingen om de impact van schendingen te verminderen.
Sleutelkluizen definiëren beveiligingsgrenzen voor opgeslagen geheimen. Als u geheimen in dezelfde kluis groepeert, neemt de impactgebied van een beveiligingsgebeurtenis toe, omdat aanvallen mogelijk toegang hebben tot geheimen in verschillende belangen. Als u de toegang over verschillende belangen wilt beperken, overweeg dan tot welke geheimen een specifieke toepassing toegang moet hebben en verdeel vervolgens uw sleutelkluizen op basis van deze criteria. Het scheiden van sleutelkluizen per applicatie is de meest voorkomende scheidingslijn. Beveiligingsgrenzen kunnen echter gedetailleerder zijn voor grote toepassingen, bijvoorbeeld per groep gerelateerde services.
Gebruik één Key Vault per tenant in multitenant-oplossingen: Voor saaS-oplossingen met meerdere tenants gebruikt u een afzonderlijke Key Vault voor elke tenant om gegevensisolatie te onderhouden. Dit is de aanbevolen benadering voor veilige isolatie van klantgegevens en workloads. Zie Multitenancy en Azure Key Vault.
Objectopslag in Key Vault
Gebruik Key Vault niet als gegevensopslag om klantconfiguraties of serviceconfiguraties op te slaan: Services moeten Azure Storage gebruiken met versleuteling at rest of Azure Configuration Manager. Opslag is beter presterend voor dergelijke scenario's.
Sla certificaten (eigendom van de klant of service) niet op als geheimen: certificaten die eigendom zijn van de service, moeten worden opgeslagen als Key Vault-certificaten en geconfigureerd voor automatischerotatie. Zie Azure Key Vault voor meer informatie: Certificaten en informatie over automatischerotatie in Azure Key Vault.
- Klantinhoud (met uitzondering van geheimen en certificaten) mag niet worden opgeslagen in Key Vault: Key Vault is geen gegevensarchief en is niet gebouwd om te schalen zoals een gegevensarchief. Gebruik in plaats daarvan een juiste gegevensopslag, zoals Cosmos DB of Azure Storage. Klanten hebben de mogelijkheid voor BYOK (breng je eigen sleutel) voor versleuteling in rust. Deze sleutel kan worden opgeslagen in Azure Key Vault om de gegevens in Azure Storage te versleutelen.
Netwerkbeveiliging
Het verminderen van de netwerkblootstelling is essentieel voor het beveiligen van Azure Key Vault tegen onbevoegde toegang. Netwerkbeperkingen configureren op basis van de vereisten en use-case van uw organisatie.
Deze netwerkbeveiligingsfuncties worden weergegeven van de meest beperkte tot minst beperkte mogelijkheden. Kies de configuratie die het beste past bij de use-case van uw organisatie.
Schakel alleen openbare netwerktoegang uit en gebruik privé-eindpunten: Implementeer Azure Private Link om een privétoegangspunt tot stand te brengen vanuit een virtueel netwerk naar Azure Key Vault en voorkom blootstelling aan het openbare internet. Zie Key Vault integreren met Azure Private Link voor implementatiestappen.
- Voor sommige klantscenario's is vertrouwde Microsoft-services vereist om de firewall te omzeilen. In dergelijke gevallen moet de kluis mogelijk worden geconfigureerd om vertrouwde Microsoft-services toe te staan. Zie Netwerkbeveiliging: Key Vault Firewall ingeschakeld (alleen vertrouwde services) voor meer informatie.
Key Vault-firewall inschakelen: beperk de toegang tot openbare statische IP-adressen of uw virtuele netwerken. Zie Key Vault-netwerkbeveiliging voor meer informatie: firewallinstellingen.
- Voor sommige klantscenario's is vertrouwde Microsoft-services vereist om de firewall te omzeilen. In dergelijke gevallen moet de kluis mogelijk worden geconfigureerd om vertrouwde Microsoft-services toe te staan.
Netwerkbeveiligingsperimeter gebruiken: definieer een logische netwerkisolatiegrens voor PaaS-resources (bijvoorbeeld Azure Key Vault, Azure Storage en SQL Database) die buiten de perimeter van het virtuele netwerk en/of openbare statische IP-adressen van uw organisatie worden geïmplementeerd. Zie Netwerkbeveiliging: Netwerkbeveiligingsperimeter
- "publicNetworkAccess": "SecuredByPerimeter" overschrijft "Vertrouwde Microsoft-services toestaan om de firewall te omzeilen", wat betekent dat sommige scenario's die vereisen dat vertrouwen niet werkt.
TLS en HTTPS
Azure Key Vault ondersteunt tls 1.2- en 1.3-protocolversies om veilige communicatie tussen clients en de service te garanderen.
- TLS-versiebeheer afdwingen: de front-end van Key Vault (gegevensvlak) is een server met meerdere tenants waarin sleutelkluizen van verschillende klanten hetzelfde openbare IP-adres kunnen delen. Om isolatie te bereiken, wordt elke HTTP-aanvraag geverifieerd en onafhankelijk geautoriseerd. Met het HTTPS-protocol kunnen clients deelnemen aan TLS-onderhandeling en clients kunnen de TLS-versie afdwingen om ervoor te zorgen dat de volledige verbinding gebruikmaakt van het bijbehorende beveiligingsniveau. Zie Key Vault-logboekregistratie voor voorbeeldquery's van Kusto om TLS-versies te bewaken die door clients worden gebruikt.
Identiteits- en toegangsbeheer
Azure Key Vault maakt gebruik van Microsoft Entra-id voor verificatie. Toegang wordt beheerd via twee interfaces: het besturingsvlak (voor het beheren van Key Vault zelf) en het gegevensvlak (voor het werken met sleutels, geheimen en certificaten). Zie Azure RBAC voor bewerkingen in het gegevensvlak van Key Vault voor meer informatie over het toegangsmodel en de eindpunten.
Beheerde identiteiten inschakelen: gebruik door Azure beheerde identiteiten voor alle app- en serviceverbindingen met Azure Key Vault om vastgelegde referenties te elimineren. Beheerde identiteiten helpen verificatie te beveiligen en de noodzaak van expliciete referenties te verwijderen. Zie Azure Key Vault-verificatie voor verificatiemethoden en -scenario's.
Op rollen gebaseerd toegangsbeheer gebruiken: Op rollen gebaseerd toegangsbeheer (RBAC) van Azure gebruiken om de toegang tot Azure Key Vault te beheren. Zie Azure RBAC voor bewerkingen in key vault-gegevensvlakken voor meer informatie.
- Gebruik geen verouderd toegangsbeleid: verouderde toegangsbeleidsregels hebben bekende beveiligingsproblemen en ontbreken ondersteuning voor Privileged Identity Management (PIM) en mogen niet worden gebruikt voor kritieke gegevens en workloads. Azure RBAC beperkt mogelijke risico's voor onbevoegde toegang tot Key Vault. Zie op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) versus toegangsbeleid (verouderd).
Belangrijk
Met het RBAC-machtigingsmodel kunnen roltoewijzingen op kluisniveau worden toegewezen voor permanente toegang en in aanmerking komende JIT-toewijzingen voor bevoegde bewerkingen. Objectbereiktoewijzingen ondersteunen alleen leesbewerkingen; Voor beheerbewerkingen zoals netwerktoegangsbeheer, bewaking en objectbeheer zijn machtigingen op kluisniveau vereist. Gebruik één Key Vault per toepassing voor veilige isolatie tussen toepassingsteams.
Just-In-Time-rollen (JIT) toewijzen: Gebruik Azure Privileged Identity Management (PIM) om in aanmerking komende JIT Azure RBAC-rollen toe te wijzen voor beheerders en operators van Key Vault. Zie het overzicht van Privileged Identity Management (PIM) voor meer informatie.
- Goedkeuringen vereisen voor activering van bevoorrechte rollen: voeg een extra beveiligingslaag toe om onbevoegde toegang te voorkomen door ervoor te zorgen dat ten minste één fiatteur is vereist om JIT-rollen te activeren. Zie Microsoft Entra-rolinstellingen configureren in Privileged Identity Management.
- Meervoudige verificatie afdwingen voor rolactivering: MFA vereisen om JIT-rollen te activeren voor operators en beheerders. Zie Meervoudige Verificatie van Microsoft Entra.
Beleid voor voorwaardelijke toegang van Microsoft Entra inschakelen: Key Vault ondersteunt beleid voor voorwaardelijke toegang van Microsoft Entra om toegangsbeheer toe te passen op basis van voorwaarden zoals gebruikerslocatie of apparaat. Zie het overzicht van voorwaardelijke toegang voor meer informatie.
Pas het principe van minimale bevoegdheden toe: beperk het aantal gebruikers met beheerdersrollen en zorg ervoor dat gebruikers alleen de minimale machtigingen krijgen die vereist zijn voor hun rol. Zie Beveiliging verbeteren met het principe van minimale bevoegdheden
Gegevensbeveiliging
Voor het beveiligen van gegevens die zijn opgeslagen in Azure Key Vault is het mogelijk om voorlopig verwijderen, opschonen en geautomatiseerde rotatie van cryptografische materialen in te schakelen.
Voorlopig verwijderen inschakelen: Zorg ervoor dat voorlopig verwijderen is ingeschakeld, zodat verwijderde Key Vault-objecten binnen een bewaarperiode van 7 tot 90 dagen kunnen worden hersteld. Zie Overzicht van soft-delete van Azure Key Vault.
Purgebescherming inschakelen: Schakel purgebescherming in om te beschermen tegen onbedoelde of kwaadwillende verwijdering van Key Vault-objecten, zelfs nadat soft-delete is ingeschakeld. Zie Azure Key Vault soft-delete overzicht: Verwijderbeveiliging
Automatischerotatie implementeren voor cryptografische assets: configureer automatische rotatie van sleutels, geheimen en certificaten om het risico op inbreuk te minimaliseren en naleving van beveiligingsbeleid te garanderen. Regelmatige rotatie van cryptografische materialen is een kritieke beveiligingspraktijk. Zie Informatie over autorotatie in Azure Key Vault, Configureren van automatische rotatie van sleutels, Configureren van automatische rotatie van certificaten, Geheimenrotatie automatiseren voor resources met één set verificatiereferenties en Geheimenrotatie automatiseren voor resources met twee sets verificatiereferenties.
Naleving en bestuur
Regelmatige nalevingscontroles en governancebeleidsregels zorgen ervoor dat uw Key Vault-implementatie voldoet aan beveiligingsstandaarden en organisatievereisten.
- Gebruik Azure Policy om configuratie af te dwingen: Azure Policy configureren om beveiligde configuraties voor Azure Key Vault te controleren en af te dwingen en waarschuwingen in te stellen voor afwijkingen van beleid. Zie Azure Policy-regelgevingscontrolelijsten voor Azure Key Vault.
Logboekregistratie en bedreigingsdetectie
Uitgebreide logboekregistratie en bewaking maken detectie van verdachte activiteiten en naleving van controlevereisten mogelijk.
Auditlogboekregistratie inschakelen: Key Vault-logboekregistratie slaat informatie op over bewerkingen die in de kluis worden uitgevoerd. Zie Key Vault-logboekregistratie voor meer informatie.
Microsoft Defender voor Key Vault inschakelen: Schakel Microsoft Defender voor Key Vault in om verdachte activiteiten te controleren en te waarschuwen. Zie Inleiding tot Microsoft Defender voor Key Vault voor meer informatie.
Schakel logboekwaarschuwingen in voor beveiligingsgebeurtenissen: stel waarschuwingen in die moeten worden gewaarschuwd wanneer kritieke gebeurtenissen worden geregistreerd, zoals toegangsfouten of geheime verwijderingen. Zie Bewaking en waarschuwingen voor Azure Key Vault.
Bewaken en waarschuwen: Integreer Key Vault met Event Grid om meldingen te ontvangen over wijzigingen in sleutels, certificaten of geheimen. Zie Key Vault bewaken met Azure Event Grid voor meer informatie.
Back-up en herstel
Regelmatige back-ups zorgen voor bedrijfscontinuïteit en beschermen tegen gegevensverlies tegen onbedoelde of schadelijke verwijdering.
Systeemeigen back-up inschakelen voor Azure Key Vault: configureer en gebruik de systeemeigen back-upfunctie van Azure Key Vault om back-ups te maken van geheimen, sleutels en certificaten, zodat herstel mogelijk is. Zie Azure Key Vault-backup.
Zorg ervoor dat back-ups worden gemaakt voor geheimen die niet opnieuw kunnen worden gemaakt: maak een back-up van Key Vault-objecten (zoals versleutelingssleutels) die niet opnieuw kunnen worden gemaakt vanuit andere bronnen. Zie Azure Key Vault-backup.
Test back-up- en herstelprocedures: Als u de effectiviteit van back-upprocessen wilt controleren, test u regelmatig het herstel van Key Vault-geheimen, -sleutels en -certificaten. Zie Azure Key Vault-backup.
Verwante beveiligingsartikelen
Voor aanbevolen beveiligingsprocedures die specifiek zijn voor sleutels, geheimen en certificaten, raadpleegt u:
- Uw Azure Key Vault-sleutels beveiligen : aanbevolen procedures voor sleutelspecifieke beveiliging, waaronder rotatie, HSM-beveiliging en BYOK
- Uw Azure Key Vault-geheimen beveiligen : aanbevolen procedures voor geheimen, waaronder rotatie, caching en bewaking
- Uw Azure Key Vault-certificaten beveiligen - Best practices voor certificaatspecifieke beveiliging, waaronder levenscyclusbeheer, verlenging en CA-integratie