أفضل الممارسات لتأمين HSM المدار

توفر هذه المقالة أفضل الممارسات لتأمين نظام إدارة مفاتيح Azure Key Vault Managed HSM. للحصول على قائمة كاملة بتوصيات الأمان، راجع أساس أمان Azure Managed HSM.

التحكم في الوصول إلى HSM المدار

HSM المدارة هي خدمة سحابية تحمي مفاتيح التشفير. نظرا لأن هذه المفاتيح حساسة وحاسمة لعملك، تأكد من تأمين HSMs المدارة من خلال السماح بالوصول فقط من قبل التطبيقات والمستخدمين المعتمدين. يوفر التحكم في الوصول إلى HSM المدار نظرة عامة على نموذج الوصول. وهو يشرح المصادقة والتخويل والتحكم في الوصول استنادا إلى الدور (RBAC).

للتحكم في الوصول إلى HSM المدار:

• إنشاء مجموعة أمان Microsoft Entra مسؤول istrators HSM (بدلا من تعيين دور مسؤول istrator للأفراد) لمنع "تأمين الإدارة" إذا تم حذف حساب فردي.
• تأمين الوصول إلى مجموعات الإدارة والاشتراكات ومجموعات الموارد وHSMs المدارة. استخدم التحكم في الوصول استنادا إلى الدور في Azure (Azure RBAC) للتحكم في الوصول إلى مجموعات الإدارة والاشتراكات ومجموعات الموارد.
• إنشاء تعيينات الدور لكل مفتاح باستخدام التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار.
• للحفاظ على فصل الواجبات، تجنب تعيين أدوار متعددة لنفس الأساسيات.
• استخدم مبدأ الوصول الأقل امتيازا لتعيين الأدوار.
• إنشاء تعريف دور مخصص باستخدام مجموعة دقيقة من الأذونات.

إنشاء نسخ احتياطية

• تأكد من إنشاء نسخ احتياطية منتظمة من HSM المدار.

  يمكنك إنشاء نسخ احتياطية على مستوى HSM ومفاتيح محددة.

بدوره على التسجيل

• قم بتشغيل التسجيل في HSM خاصتك.

  يمكنك أيضا إعداد التنبيهات.

قم بتشغيل خيارات الاسترداد

• يكون الحذف المبدئي قيد التشغيل بشكل افتراضي. يمكنك اختيار فترة استبقاء تتراوح بين 7 و90 يوما.

• قم بتشغيل الحماية من الإزالة لمنع الحذف الدائم الفوري ل HSM أو المفاتيح.

  عند تشغيل الحماية من الإزالة، يظل HSM المدار أو المفاتيح في حالة حذف حتى تنتهي فترة الاستبقاء.

الخطوات التالية

• أساس أمان HSM المدار
• النسخ الاحتياطي الكامل والاستعادة
• تسجيل HSM المدار
• إدارة مفاتيح HSM المدارة
• إدارة دور HSM المدار
• نظرة عامة على الحذف المبدئي ل HSM المدار