أمان Azure Key Vault

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يحمي Azure Key Vault مفاتيح التشفير والشهادات (والمفاتيح الخاصة المقترنة بالشهادات) والأسرار (مثل سلاسل الاتصال وكلمات المرور) في السحابة. عند تخزين البيانات الحساسة والبيانات الهامة للأعمال، يجب عليك اتخاذ خطوات لزيادة أمان خزائنك والبيانات المخزنة فيها إلى أقصى حد.

نظرة عامة على ميزات الأمان وأفضل الممارسات لـ Azure Key Vault.

ملاحظة

للحصول على قائمة شاملة بتوصيات أمان Azure Key Vault، راجع أساس الأمان لـ Azure Key Vault.

أمان الشبكة

يمكنك تقليل تعرض الخزائن الخاصة بك عن طريق تحديد عناوين IP التي يمكنها الوصول إليها. تتيح لك نقاط نهاية خدمة الشبكة الظاهرية لـ Azure Key Vault تقييد الوصول إلى شبكة افتراضية محددة. تسمح لك نقاط النهاية أيضاً بتقييد الوصول إلى قائمة نطاقات عناوين IPv4 (إصدار بروتوكول الإنترنت 4). يتم رفض وصول أي مستخدم يتصل بخزنة المفاتيح من خارج تلك المصادر. للتعرف على المزيد من المعلومات، راجع نقاط النهاية لخدمة الشبكة الظاهرية في Azure Key Vault

بعد أن تسري قواعد جدار الحماية، يمكن للمستخدمين فقط تنفيذ عمليات مستوى بيانات المخزن الرئيسي عندما تنشأ طلباتهم من الشبكات الظاهرية أو نطاقات عناوين IPv4 المسموح لها. ينطبق هذا أيضًا على الوصول إلى المخزن الرئيسي من مدخل Azure. في حين أنه بإمكان المستخدمين التصفح للوصول إلى المخزن الرئيسي من مدخل Azure، إلا أنه قد لا يمكنهم إدراج المفاتيح أو الأسرار أو الشهادات إذا لم يكن جهاز العميل الخاص بهم في القائمة المسموح لها. لخطوات التنفيذ، راجع تكوين جدران الحماية Azure Key Vault والشبكات الافتراضية

تتيح لك خدمة Azure Private Link الوصول إلى Azure Key Vault وخدمات العملاء/الشركاء المستضافة من Azure عبر "نقطة نهاية خاصة" في الشبكة الظاهرية. تُعد نقطة النهاية الخاصة في Azure هي واجهة شبكة تربطك بشكل خاص وآمن بخدمة مُشغّلة بواسطةAzure Private Link. تستخدم نقطة النهاية الخاصة عنوان IP خاصًّا من الشبكة الظاهرية الخاصة بك، مما يؤدي إلى جلب الخدمة بشكل فعال إلى الشبكة الظاهرية الخاصة بك. يمكن توجيه كافة حركة المرور إلى الخدمة من خلال نقطة النهاية الخاصة، لذلك لا توجد بوابات أو أجهزة NAT أو اتصالات ExpressRoute أو VPN أو عناوين IP عامة مطلوبة. قم بنقل البيانات بين شبكتك الظاهرية وخدمات الاجتياز عبر شبكة Microsoft الأساسية، مما يلغي التعرض للإنترنت العام. يمكنك الاتصال بمثيل مورد Azure، مما يمنحك أعلى مستوى من الدقة في التحكم في الوصول. للاطلاع على خطوات التنفيذ، راجع تكامل Key Vault مع Azure Private Link

TLS و HTTPS

• الواجهة الأمامية لـ Key Vault (مستوى البيانات) هي خادم متعدد المستأجرين. وهذا يعني أن خزائن المفاتيح من عملاء مختلفين يمكن أن تشترك في نفس عنوان IP العام. من أجل تحقيق العزل، يتم مصادقة كل طلب HTTP وتخويله بشكل مستقل عن الطلبات الأخرى.
• يمكنك تحديد الإصدارات القديمة من TLS للإبلاغ عن نقاط الضعف ولكن نظرًا لمشاطرة عنوان IP العام، لا يمكن لفريق خدمة الخزنة الرئيسية تعطيل الإصدارات القديمة من TLS لخزائن المفاتيح الفردية على مستوى النقل.
• بروتوكول HTTPS يسمح للعميل بالمشاركة في التفاوض TLS. يمكن للعملاء فرض أحدث إصدار من TLS، وكلما قام عميل بذلك، سيستخدم الاتصال بأكمله حماية المستوى المقابل. قد لا تعمل التطبيقات التي تتواصل مع Azure Active Directory أو تصادق عليه كما هو متوقع إذا لم تكن قادرة على استخدام TLS 1.2 أو الإصدار الأخير للاتصال.
• على الرغم من وجود نقاط ضعف معروفة في بروتوكول TLS، لا يوجد هجوم معروف يسمح لعامل ضار باستخراج أي معلومات من قبو المفتاح الخاص بك عندما يبدأ المهاجم اتصالًا بإصدار TLS يحتوي على نقاط ضعف. لا يزال المهاجم بحاجة إلى مصادقة نفسه وتخويله، وطالما أن العملاء الشرعيين يتواصلون دائمًا مع إصدارات TLS الحديثة، فمن المستحيل أن تكون بيانات الاعتماد قد تسربت من نقاط الضعف في إصدارات TLS القديمة.

ملاحظة

تأكد، بالنسبة إلى Azure Key Vault، من أن التطبيق الذي يصل إلى خدمة Keyvault يجب أن يكون قيد التشغيل على نظام أساسي يدعم TLS 1.2 أو الإصدار الأخير. إذا كان التطبيق يعتمد على .Net framework، فيجب تحديثه أيضا. يمكنك أيضا إجراء تغييرات التسجيل المذكورة في هذه المقالة لتمكين استخدام TLS 1.2 بشكل صريح على مستوى OS و.Net framework. لتحقيق الامتثال للمتطلبات وتحسين الوضع الأمني، سيتم إهمال الاتصالات Key Vault عبر TLS 1.0 & 1.1 بدءا من 31 مايو 2022 ولن يتم السماح بها لاحقا في المستقبل.

مصادقة Key Vault

عند إنشاء وحدة HSM مدارة في اشتراك Azure، يتم إقرانها تلقائيًّا بمستأجر Azure Active Directory للاشتراك. يجب على جميع المتصلين في كلتا الطائرتين التسجيل في هذا المستأجر والمصادقة للوصول إلى خزنة المفاتيح. في كلتا الحالتين، يمكن للتطبيقات الوصول إلى مفتاح Vault بثلاث طرق:

• التطبيق فقط: يمثل التطبيق كيان الخدمة أو هوية مُدارة. هذه الهوية هي السيناريو الأكثر شيوعًا للتطبيقات التي تحتاج بشكل دوري للوصول إلى الشهادات أو المفاتيح أو الأسرار من قبو المفاتيح. لكي يعمل هذا السيناريو، objectId يجب تحديد التطبيق في نهج الوصول ويجب applicationIdألا يتم تحديده أو يجب أن يكون null.
• المستخدم فقط: يصل المستخدم إلى قبو المفتاح من أي تطبيق مسجل في المستأجر. تتضمن أمثلة هذا النوع من الوصول Azure PowerShell ومدخل Azure. لكي يعمل هذا السيناريو، objectId يجب تحديد التطبيق في نهج الوصول ويجب applicationIdألا يتم تحديده أو يجب أن يكون null.
• التطبيق بالإضافة إلى المستخدم (يشار إليها أحيانًا باسم الهوية المركبة): يطلب من المستخدم الوصول إلى قبو المفتاح من تطبيق معين ويجب على التطبيق استخدام تدفق المصادقة (OBO) نيابة عن انتحال شخصية المستخدم. لكي يعمل هذا السيناريو، يجب تحديد كليهما applicationIdobjectId في نهج الوصول. applicationIdيعرف التطبيق المطلوب ويحدد objectId المستخدم. حاليًّا، هذا الخيار غير متوفر لطائرة البيانات Microsoft Azure RBAC.

في كافة أنواع الوصول، يصادق التطبيق مع Microsoft Azure AD. يمكن للتطبيق استخدام أي طريقة مصادقة مدعومة استنادًا إلى نوع التطبيق. يكتسب التطبيق رمزًا مميزًا لمورد في الوحدة للوصول. المورد هو نقطة نهاية في وحدة الإدارة أو البيانات، استناداً إلى بيئة Azure. يستخدم التطبيق الرمز المميز ويرسل طلب REST API إلى Key Vault. لمعرفة المزيد، راجع تدفق المصادقة بالكامل.

استخدام آلية مصادقة واحدة لكلتا الوحدتين له فوائد عديدة:

• يمكن للمؤسسات التحكم في الوصول مركزيًّا إلى جميع الخزائن الرئيسية في مؤسستها.
• إذا غادر مستخدم، فإنها تفقد على الفور الوصول إلى جميع وحدات Vaults المدارة في المؤسسة.
• يمكن للمؤسسات تخصيص المصادقة باستخدام الخيارات الموجودة في Azure Active Directory، مثل تمكين المصادقة متعددة العوامل للأمان المضاف.

لمزيد من المعلومات حول أساسيات الأمان، راجع مصادقة Key Vault.

نظرة عامة على طراز الوصول

يتم التحكم بالوصول إلى وحدة HSM المدارة من خلال واجهتين: وحدة الإدارةووحدة البيانات. وحدة الإدارة هي المكان الذي تدير فيه وحدة Key Vault نفسها. تتضمن العمليات في هذا المستوى إنشاء وحذف key vaults واسترداد خصائص "key vaults" وتحديث سياسات الوصول. مستوى البيانات هو المكان الذي تعمل فيه مع البيانات المخزنة في قبو المفاتيح. يمكنك إضافة المفاتيح والأسرار والشهادات وحذفها وتعديلها.

يستخدم كلا المستويين Azure Active Directory (Azure AD) للمصادقة. للتخويل، يستخدم مستوى الإدارة عنصر تحكم الوصول المستند إلى دور Azure (Azure RBAC) ويستخدم مستوى البيانات نهج الوصول إلى مفتاح Vault و Azure RBAC لعمليات مستوى بيانات Key Vault.

للوصول إلى قبو مفتاح في أي من المستويين، يجب أن يكون لدى جميع المتصلين (المستخدمين أو التطبيقات) المصادقة والتخويل المناسبان. تعمل المصادقة على إنشاء هوية المتصل. يحدد التخويل العمليات التي يمكن للمتصل تنفيذها. المصادقة على Azure Key Vault تعمل باستخدام Key Vault، جنبًا إلى جنب مع Microsoft Azure Active Directory، وهو المسؤول عن مصادقة هُوية أي أساس أمان محدد.

أساس الأمان هو كائن يمثّل مستخدمًا أو مجموعة أو خدمة أو تطبيقًا يطلب الوصول إلى موارد Azure. يقوم Azure بتعيين معرف كائن فريد لكل أساس أمان.

• يحدد كيان أمان المستخدم فردًا لديه ملف تعريف في Microsoft Azure Active Directory.
• يحدد كيان أمان المجموعة، مجموعة من المستخدمين الذين تم إنشاؤهم في Microsoft Azure Active Directory. يتم منح أي أدوار أو أذون تم تعيينها للمجموعة لجميع المستخدمين داخل المجموعة.
• يعد كيان الخدمة نوعًا من مبادئ الأمان التي تحدد تطبيقًا أو خدمة، أي أنها جزء من التعليمة البرمجية، بدلًا من مستخدم أو مجموعة. يُعرَف معرِّف عنصر كيان الخدمة باسم معرِّف العميل، ويعمل مثل اسم المستخدم الخاص به. كيان الخدمة الرئيسي السري أو الشهادة يعمل مثل كلمة المرور الخاصة به. تدعم العديد من خدمات Azure تعيين الهوية المدارة مع الإدارة التلقائية لمعرف العميلوالشهادة. الهوية المدارة هي الخيار الأكثر أمانًا والموصى به للمصادقة داخل Azure.

لمزيد من المعلومات حول المصادقة على مفتاح Vault، راجع المصادقة على Azure Key Vault.

نظام الوصول المشروط

يوفر مفتاح Vault الدعم لنهج الوصول المشروط لـ Azure Active Directory. باستخدام نهج الوصول المشروط، يمكنك تطبيق عناصر التحكم في الوصول الصحيحة عند الحاجة للحفاظ على أمان مؤسستك والبقاء بعيدًا عن طريق المستخدم عند عدم الحاجة إليه.

لمزيد من المعلومات، راجع واجهات برمجة تطبيقات الوصول المشروط

الوصول المتميز

يحدد التخويل العمليات التي يمكن للمتصل تنفيذها. يستخدم التخويل في "مفتاح Vault" مجموعة من نهج التحكم في الوصول المستندة إلى دور Azure (Azure RBAC) و Azure Key Vault.

يتم الوصول إلى الخزائن من خلال واجهتين أو طائرتين. هاتان الطائرتان هما طائرة الإدارة وطائرة البيانات.

• مستوى الإدارة هو المكان الذي تدير فيه Key Vault نفسه وهو الواجهة المستخدمة لإنشاء الخزائن وحذفها. يمكنك أيضًا قراءة خصائص قبو المفاتيح وإدارة سياسات الوصول.
• تسمح لك طائرة البيانات بالعمل مع البيانات المخزنة في قبو المفاتيح. يمكنك إضافة المفاتيح والأسرار والشهادات وحذفها وتعديلها.

وصول التطبيقات إلى المستويات من خلال نقاط النهاية. تعمل عناصر التحكم بالوصول للوحدتين بشكل مستقل. لمنح حق الوصول إلى تطبيق لاستخدام المفاتيح في خزنة مفاتيح، فإنك تمنح الوصول إلى مستوى البيانات باستخدام نهج الوصول إلى مفتاح Vault أو Azure RBAC. لمنح المستخدم وصول للقراءة فقط إلى خصائص وعلامات "مفتاح Vault"، ولكن ليس الوصول إلى البيانات (المفاتيح أو الأسرار أو الشهادات)، فإنك تمنح وصول مستوى الإدارة مع Azure RBAC.

يعرض الجدول التالي نقاط النهاية الخاصة بوحدتي الإدارة والبيانات.

الوصول إلى الوحدة	الوصول إلى نقاط النهاية	العمليات	آليات التحكم بالوصول
وحدة الإدارة	عمومي: management.azure.com:443 Azure China 21Vianet: management.chinacloudapi.cn:443 حكومة Azure الأمريكية: management.usgovcloudapi.net:443 Azure ألمانيا: management.microsoftazure.de:443	إنشاء خزائن المفاتيح وقراءتها وتحديثها وحذفها قم بتعيين نهج الوصول إلى Key Vault تعيين علامات Vault للمفاتيح	Azure RBAC
خطة البيانات	عمومي: <vault-name>.vault.azure.net:443 Azure China 21Vianet: <vault-name>.vault.azure.cn:443 حكومة Azure الأمريكية: <vault-name>.vault.usgovcloudapi.net:443 Azure ألمانيا: <vault-name>.vault.microsoftazure.de:443	مفاتيح: تشفير، فك تشفير، wrapKey، unwrapKey، توقيع، تحقق، الحصول على، قائمة، إنشاء، تحديث، استيراد، حذف، استرداد، النسخ الاحتياطي، استعادة، تطهير، تدوير (معاينة)، getrotationpolicy (معاينة)، setrotationpolicy (معاينة)، الإصدار (معاينة) شهادات: managecontacts، getissuers، listissuers، setissuers، حذف، manageissuers، الحصول على، قائمة، إنشاء، استيراد، تحديث، حذف، استرداد، النسخ الاحتياطي، استعادة، تطهير أسرار: الحصول على، قائمة، تعيين، حذف، استرداد، النسخ الاحتياطي، استعادة، تطهير	سياسة الوصول إلى Vault الرئيسية أو Azure RBAC

إدارة الوصول الإداري إلى مفتاح Vault

يمكنك إنشاء مخزن مفاتيح في مجموعة موارد وإدارة الوصول باستخدام Microsoft Azure Active Directory. يمكنك منح المستخدمين أو المجموعات القدرة على إدارة مخازن المفاتيح في مجموعة موارد. يمكنك منح حق الوصول على مستوى نطاق معين عن طريق تعيين أدوار Azure المناسبة. لمنح حق الوصول إلى مستخدم لإدارة مخازن المفاتيح، يمكنك تعيين دور key vault Contributor محدد مسبقًا للمستخدم في نطاق معين. يمكن تعيين مستويات النطاقات التالية إلى دور Azure:

• الاشتراك: يتم تطبيق دور Azure المعين على مستوى الاشتراك على كافة مجموعات الموارد والموارد الموجودة ضمن هذا الاشتراك.
• مجموعة الموارد: يتم تطبيق دور Azure المعين على مستوى مجموعة الموارد على كافة الموارد في مجموعة الموارد هذه.
• مورد محدد: يتم تطبيق دور Azure المعين لمورد محدد على هذا المورد. في هذه الحالة، المورد هو مخزن مفاتيح محدد.

هناك العديد من الأدوار المعرفة مسبقًا. إذا كان الدور المحدد مسبقًا لا يتناسب مع احتياجاتك، يمكنك تحديد دورك الخاص. لمزيد من المعلومات، راجع Azure RBAC: الأدوار المضمنة.

هام

إذا كان لدى المستخدم Contributorأذونات إلى مستوى إدارة قبو مفتاح، يمكن للمستخدم منح نفسه حق الوصول إلى مستوى البيانات عن طريق تعيين نهج الوصول إلى مفتاح Vault. يجب عليك التحكم بإحكام من لديه Contributorحق الوصول إلى المفاتيح الخاصة بك. تأكد من أن الأشخاص المخولين فقط يمكنهم الوصول إلى خزائن المفاتيح والمفاتيح والأسرار والشهادات وإدارتها.

التحكم في الوصول إلى بيانات "مفتاح Vault"

تمنح سياسات الوصول إلى Vault الرئيسية أذونات بشكل منفصل للمفاتيح أو الأسرار أو الشهادة. يمكنك منح المستخدم حق الوصول فقط إلى المفاتيح وليس إلى الأسرار. تتم إدارة أذونات الوصول للمفاتيح والأسرار والشهادات على مستوى القبو.

هام

لا تدعم سياسات الوصول إلى Key Vault الأذونات الدقيقة على مستوى الكائن مثل مفتاح أو سر أو شهادة معينة. عندما يتم منح المستخدم الإذن لإنشاء وحذف المفاتيح، يمكنه تنفيذ هذه العمليات على كافة المفاتيح الموجودة في خزنة المفاتيح تلك.

يمكنك تعيين نهج الوصول لخزنة مفاتيح استخدام مدخل Azureأو Azure CLIأو Azure PowerShellأو واجهات برمجة تطبيقات REST لـ Key Vault.

تسجيل الدخول والمراقبة

يؤدي تسجيل Key Vault إلى حفظ معلومات حول الأنشطة التي يتم تنفيذها على القبو. للحصول على التفاصيل الكاملة، راجع Azure Key Vault logging.

يمكنك دمج "Key Vault" مع "شبكة الأحداث" ليتم إعلامك عند تغيير حالة مفتاح أو شهادة أو سر مخزن في خزنة المفاتيح. نظرة عامة: مراقبة Key Vault من خلال Azure Event Grid

من المهم أيضًا مراقبة صحة خزينة المفاتيح الخاصة بك، للتأكد من أن خدمتك تعمل على النحو المنشود. لمزيد من المعلومات، راجع المراقبة والتنبيه لـ Azure Key Vault.

النسخ الاحتياطي والاسترداد.

يتيح لك Azure Key Vault الحذف المبدئي والحماية من التطهير استعادة الخزائن وعناصر الخزنة المحذوفة. لمزيد من المعلومات، راجع نظرة عامة حول الحذف المبدئي في Azure Key Vault.

تأكد من إجراء نسخ احتياطية منتظمة من المخزن الخاص بك عند تحديث / حذف / إنشاء عناصر داخل Vault.

الخطوات التالية

• أساس أمان Azure Key Vault
• أفضل ممارسات Azure Key Vault
• نقاط نهاية خدمة الشبكة الظاهرية لـ Azure Key Vault
• Azure RBAC: أدوار مضمنة