Osvědčené postupy při použití spravovaného HSM

Řízení přístupu ke spravovanému HSM

Spravovaný HSM je cloudová služba, která chrání šifrovací klíče. Vzhledem k tomu, že jsou tyto klíče citlivé a důležité pro firmu, nezapomeňte zabezpečit přístup ke spravovaným HSM tím, že umožníte přístup jenom autorizovaným aplikacím a uživatelům. Tento článek obsahuje přehled modelu přístupu. Vysvětluje ověřování a autorizaci a řízení přístupu na základě role.

• Vytvořte skupinu Azure Active Directory zabezpečení pro správce HSM (místo přiřazení role správce jednotlivcům). Zabrání se tak uzamčení správy v případě odstranění jednotlivých účtů.
• Uzamčení přístupu ke skupinám pro správu, předplatným, skupinám prostředků a spravovaným HSM – Pomocí Azure RBAC můžete řídit přístup ke skupinám pro správu, předplatným a skupinám prostředků.
• Vytvořte přiřazení rolí podle klíče pomocí místního řízení přístupu na základě role spravovaného HSM.
• Aby se zachovalo oddělení povinností, vyhnete se přiřazení více rolí ke stejným objektům zabezpečení.
• K přiřazení rolí použijte objekt zabezpečení přístupu s nejmenšími oprávněními.
• Vytvořte definici vlastní role s přesnou sadu oprávnění.

Zvolte oblasti, které podporují zóny dostupnosti.

• Pokud chcete zajistit nejlepší vysokou dostupnost a odolnost zón, zvolte oblasti Azure, ve kterých Zóny dostupnosti podporované. Tyto oblasti se v seznamu zobrazí jako doporučené Azure Portal.

Backup

• Ujistěte se, že váš HSM pravidelně zálohuje. Zálohy je možné provést na úrovni HSM a pro konkrétní klíče.

Zapnutí protokolování

• Zapněte protokolování hsm. Nastavte také výstrahy.

Zapnutí možností obnovení

• Možnost Obnovit odstranění je ve výchozím nastavení povolená. Můžete zvolit dobu uchovávání mezi 7 a 90 dny.
• Zapněte ochranu před vymazáním, abyste zabránili okamžitému trvalému odstranění HSM nebo klíčů. Pokud je ochrana před vymazáním v modulu hardwarového zabezpečení (HSM), klíče zůstanou v odstraněném stavu, dokud nesnídá doba uchovávání.

Generování a import klíčů z místního HSM

• Pokud chcete zajistit dlouhodobou přenositelnost a stálost klíčů, vygenerujte klíče v místním modulu HSM a importujte je do spravovaného HSM. Pro budoucí použití budete mít bezpečně uloženou kopii vašeho klíče v místním HSM.

Další kroky

• Informace o úplném zálohování a obnovení HSM najdete v tématu Úplné zálohování/obnovení.
• V tématu Protokolování Spravovaného HSM se dozvíte, jak pomocí Azure Monitor nakonfigurovat protokolování.
• Informace o správě klíčů najdete v tématu Správa spravovaných klíčů HSM.
• Informace o správě přiřazení rolí najdete v tématu Správa rolí Spravovaného HSM.
• Možnosti obnovení najdete v tématu Přehled spravovaného softwarového odstranění HSM.