Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Klucze usługi Azure Key Vault chronią klucze kryptograficzne używane do szyfrowania, podpisów cyfrowych i operacji zawijania kluczy. Ten artykuł zawiera zalecenia dotyczące zabezpieczeń specyficzne dla zarządzania kluczami kryptograficznymi.
Uwaga / Notatka
Ten artykuł koncentruje się na praktykach zabezpieczeń specyficznych dla kluczy usługi Key Vault. Aby uzyskać kompleksowe wskazówki dotyczące zabezpieczeń usługi Key Vault, w tym zabezpieczenia sieci, zarządzanie tożsamościami i dostępem oraz architekturę magazynu, odwiedź Zabezpieczanie usługi Azure Key Vault.
Typy kluczy i poziomy ochrony
Usługa Azure Key Vault obsługuje różne typy kluczy z różnymi poziomami ochrony. Wybierz odpowiedni typ klucza na podstawie wymagań dotyczących zabezpieczeń:
Klucze chronione przez oprogramowanie (RSA, EC): klucze chronione przez zweryfikowane oprogramowanie FIPS 140-2 poziom 1. Nadaje się do większości aplikacji wymagających operacji szyfrowania i podpisywania.
Klucze chronione przez moduł HSM (RSA-HSM, EC-HSM): Klucze chronione przez moduły zabezpieczeń sprzętowych HSM, zweryfikowane zgodnie z FIPS 140-2 poziom 2. Zalecane w scenariuszach o wysokim poziomie zabezpieczeń wymagających ochrony kluczy opartych na sprzęcie.
Zarządzane klucze HSM: Klucze w dedykowanych, jedno-dzierżawnych pulach modułów HSM ze sprzętem zgodnym z FIPS 140-2 poziom 3. Wymagane dla najwyższych wymagań dotyczących zabezpieczeń i zgodności.
Aby uzyskać więcej informacji na temat typów kluczy, zobacz About Azure Key Vault keys (Informacje o kluczach usługi Azure Key Vault).
Użycie klucza i operacje
Ogranicz operacje kluczy tylko do tych wymaganych przez aplikację, aby zminimalizować obszar ataków:
- Ograniczanie operacji klucza: Udzielanie tylko niezbędnych uprawnień (szyfrowanie, odszyfrowywanie, podpisywanie, weryfikowanie, zawijanie klucza, rozpakowywanie klucza)
-
Użyj odpowiednich rozmiarów kluczy:
- Klucze RSA: użyj 2048-bitowego minimum, 4096-bitowego dla scenariuszy o wysokim poziomie zabezpieczeń
- Klucze EC: użyj krzywych P-256, P-384 lub P-521 w oparciu o wymagania dotyczące zabezpieczeń
- Oddzielne klucze według celu: użyj różnych kluczy do szyfrowania i operacji podpisywania, aby ograniczyć wpływ, jeśli klucz zostanie naruszony
Aby uzyskać więcej informacji na temat operacji kluczy, odwołaj się do Operacje kluczy w usłudze Key Vault.
Rotacja kluczy i przechowywanie wersji
Zaimplementuj regularną rotację kluczy, aby ograniczyć narażenie na naruszenia zabezpieczeń kluczy:
- Włącz automatyczną rotację kluczy: skonfiguruj zasady automatycznej rotacji, aby obracać klucze bez przestoju aplikacji. Zobacz Konfigurowanie autorotacji klucza
- Częstotliwość ustawiania rotacji: obracanie kluczy szyfrowania co najmniej raz w roku lub częściej na podstawie wymagań dotyczących zgodności
- Stosuj wersjonowanie kluczy: Key Vault automatycznie wersjonuje klucze, umożliwiając ich rotację bez przerywania szyfrowania danych.
- Planowanie ponownego szyfrowania: w przypadku danych długoterminowych zaimplementuj strategie ponownego szyfrowania danych przy użyciu nowych wersji kluczy
Aby uzyskać więcej informacji na temat rotacji, zobacz Konfigurowanie autorotacji klucza kryptograficznego w usłudze Azure Key Vault.
Tworzenie kopii zapasowej i odzyskiwanie kluczy
Ochrona przed utratą danych przez zaimplementowanie odpowiednich procedur tworzenia kopii zapasowych i odzyskiwania:
- Włącz usuwanie nietrwałe: Usuwanie nietrwałe umożliwia odzyskiwanie usuniętych kluczy w okresie przechowywania (7–90 dni). Zobacz Omówienie funkcji soft-delete w usłudze Azure Key Vault
- Włącz ochronę przed przeczyszczaniem: Zapobiegaj trwałemu usuwaniu kluczy w okresie przechowywania. Zobacz Przeczyszczanie ochrony
- Tworzenie kopii zapasowych kluczy krytycznych: umożliwia eksportowanie i bezpieczne przechowywanie kopii zapasowych kluczy, które chronią niezastąpione dane. Zobacz Tworzenie kopii zapasowej usługi Azure Key Vault
- Procedury odzyskiwania dokumentów: Utrzymywanie runbooków dla kluczowych scenariuszy odzyskiwania
Przynieś swój własny klucz (BYOK)
Podczas importowania własnych kluczy do usługi Key Vault postępuj zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń:
- Używanie bezpiecznej generacji kluczy: generacja kluczy w modułach HSM zgodnych z FIPS 140-2 poziom 2 lub wyższym
- Ochrona kluczy podczas transferu: użyj procesu BYOK usługi Key Vault, aby bezpiecznie przenieść klucze. Zobacz Importowanie kluczy chronionych przez moduł HSM do usługi Key Vault (BYOK)
- Weryfikowanie importowania klucza: Weryfikowanie atrybutów kluczy i uprawnień po zaimportowaniu
- Zachowaj pochodzenie klucza: dokumentowanie źródła i metody transferu importowanych kluczy
Aby uzyskać więcej informacji na temat rozwiązania BYOK, zobacz Importowanie kluczy chronionych przez moduł HSM dla usługi Key Vault.
Wydanie klucza i zaświadczanie
W przypadku scenariuszy wymagających wydania klucza do zaufanych środowisk:
- Używanie zasad wydania kluczy: Konfigurowanie zasad wydania opartych na zaświadczaniach w celu kontrolowania, kiedy klucze mogą być zwalniane z usługi Key Vault
- Zweryfikuj atesty: upewnij się, że środowiska żądające dostarczają prawidłowe atesty przed wydaniem kluczy
- Inspekcje wydań kluczy: Monitorowanie i rejestrowanie wszystkich operacji wydań kluczy
Aby uzyskać więcej informacji na temat wydania klucza, zobacz Wydanie klucza usługi Azure Key Vault.
Monitorowanie i inspekcja
Śledzenie użycia kluczy w celu wykrywania nieautoryzowanego dostępu lub podejrzanych wzorców:
- Włącz rejestrowanie diagnostyczne: rejestruj wszystkie kluczowe operacje na potrzeby analizy zabezpieczeń. Zobacz Rejestrowanie usługi Azure Key Vault
- Monitorowanie operacji kluczy: śledzenie szyfrowania, odszyfrowywania, podpisywania i weryfikowania operacji w celu ustanowienia wzorców użycia punktu odniesienia
-
Konfigurowanie alertów: Konfigurowanie alertów usługi Azure Monitor dla:
- Nietypowe wzorce dostępu do kluczy
- Nieudane operacje kluczowe
- Usunięcia lub modyfikacje kluczy
- Klucz zbliża się do wygaśnięcia
Zobacz Monitorowanie i alerty dotyczące usługi Azure Key Vault.
Wygaśnięcie klucza
Ustaw daty wygaśnięcia kluczy w odpowiednich przypadkach:
- Ustaw wygaśnięcie kluczy tymczasowych: klucze używane do celów ograniczonych czasowo powinny mieć daty wygaśnięcia
- Monitoruj wygasające klucze: użyj powiadomień usługi Event Grid, aby otrzymywać alerty przed wygaśnięciem kluczy. Zobacz Azure Key Vault jako źródło dla Event Grid
- Automatyzowanie odnawiania klucza: zaimplementuj zautomatyzowane procesy do rotacji kluczy przed wygaśnięciem
Powiązane artykuły dotyczące zabezpieczeń
- Zabezpieczanie usługi Azure Key Vault — kompleksowe wskazówki dotyczące zabezpieczeń usługi Key Vault
- Zabezpieczanie wpisów tajnych usługi Azure Key Vault — najlepsze rozwiązania dotyczące zabezpieczeń dla wpisów tajnych
- Zabezpieczanie certyfikatów usługi Azure Key Vault — najlepsze rozwiązania dotyczące zabezpieczeń certyfikatów
Dalsze kroki
- Informacje o kluczach usługi Azure Key Vault
- Konfigurowanie autorotacji klucza kryptograficznego w usłudze Azure Key Vault
- Przewodnik dewelopera usługi Azure Key Vault