Standardní hodnoty zabezpečení Azure pro Key Vault

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 3.0 na Key Vault. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Key Vault.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat, kde jsou uvedené definice Azure Policy pomocí Programu Microsoft Defender pro cloud v části Dodržování právních předpisů. Každá část ovládacího prvku obsahuje relevantní definice Azure Policy, které vám pomůžou měřit dodržování předpisů tohoto produktu s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Funkce, které se nevztahují na Key Vault, byly vyloučeny. Pokud chcete zjistit, jak Key Vault zcela mapovat na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Key Vault.

Profil zabezpečení

Profil zabezpečení shrnuje chování Key Vault s vysokým dopadem, což může vést ke zvýšení bezpečnostních aspektů.

Atribut chování služby Hodnota
Kategorie produktu Zabezpečení
Zákazník má přístup k hostiteli nebo operačnímu systému. Zakázaný přístup
Službu je možné nasadit do virtuální sítě zákazníka. Ano
Ukládá neaktivní uložený obsah zákazníka. Ano

Zabezpečení sítě

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení sítě.

NS-1: Vytvoření hranic segmentace sítě

Funkce

Integrace virtuální sítě

Popis: Služba podporuje nasazení do privátního Virtual Network zákazníka (VNet). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Azure Key Vault podporuje koncové body služby virtuální sítě, které umožňují omezit přístup trezoru klíčů k zadané virtuální síti.

Referenční informace: Zabezpečení sítě Azure Key Vault

Podpora skupiny zabezpečení sítě

Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Pomocí skupin zabezpečení sítě (NSG) omezte nebo monitorujte provoz podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla NSG pro omezení otevřených portů vaší služby (například zabránění přístupu portů pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zamítnou veškerý příchozí provoz, ale povolují provoz z virtuální sítě a Azure Load Balancers.

NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků

Funkce

Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (není třeba zaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Nasazení privátních koncových bodů pro Azure Key Vault pro vytvoření privátního přístupového bodu pro prostředky

Referenční informace: Azure Key Vault Private Link

Zakázání přístupu k veřejné síti

Popis: Služba podporuje zakázání přístupu k veřejné síti prostřednictvím pravidla filtrování seznamu ACL na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall) nebo pomocí přepínače Zakázat přístup k veřejné síti. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Zakažte přístup k veřejné síti pomocí pravidel filtrování IP adres brány firewall azure Key Vault.

Referenční informace: Zabezpečení sítě azure Key Vault

Microsoft Defender pro monitorování cloudu

Azure Policy předdefinované definice – Microsoft.KeyVault:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Azure Key Vault by měl zakázat přístup k veřejné síti. Zakažte přístup k veřejné síti pro trezor klíčů, aby nebyl přístupný přes veřejný internet. To může snížit rizika úniku dat. Další informace najdete tady: https://aka.ms/akvprivatelink. Audit, Odepřít, Zakázáno 2.0.0-preview
[Preview]: Privátní koncový bod by měl být nakonfigurovaný pro Key Vault Private Link poskytuje způsob připojení Key Vault k prostředkům Azure bez odesílání provozu přes veřejný internet. Private Link poskytuje hloubkové ochrany před exfiltrací dat. Audit, Odepřít, Zakázáno 1.1.0-preview

Správa identit

Další informace najdete v srovnávacím testu zabezpečení Azure: Správa identit.

IM-1: Použití centralizovaného systému identit a ověřování

Funkce

Azure AD Ověřování vyžadované pro přístup roviny dat

Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny ke konfiguraci: Pro výchozí nasazení se nevyžadují žádné další konfigurace.

Referenční informace: Ověřování azure Key Vault

Místní metody ověřování pro přístup k rovině dat

Popis: Místní metody ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Poznámky k funkcím: Obecně nedoporučujeme používat místní metody ověřování nebo účty a ty by měly být zakázané. Místo toho použijte Azure AD k ověření, pokud je to možné.

Pokyny ke konfiguraci: Obecně nedoporučujeme používat místní metody ověřování nebo účty a ty by měly být zakázané. Místo toho použijte Azure AD k ověření, pokud je to možné. Tato funkce není podporována pro zabezpečení této služby.

IM-3: Zabezpečená a automatická správa identit aplikací

Funkce

Spravované identity

Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, otočené a chráněné platformou, aby se zabránilo pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.

Referenční informace: Ověřování azure Key Vault

Instanční objekty

Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Vlastní pokyny: Doporučujeme místo instančních objektů používat spravované identity. Pokud je potřeba použít instanční objekty, omezte využití na scénáře použití, kdy se vyžaduje přístup bez uživatele a spravované identity nejsou podporované, jako jsou toky automatizace nebo integrace systémů třetích stran.

Referenční informace: Ověřování azure Key Vault

IM-7: Omezení přístupu k prostředkům na základě podmínek

Funkce

Podmíněný přístup pro rovinu dat

Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.

Referenční informace: Podmíněný přístup Azure Key Vault

IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů

Funkce

Integrace přihlašovacích údajů a tajných kódů služeb a úložiště v Azure Key Vault

Popis: Rovina dat podporuje nativní použití Azure Key Vault pro přihlašovací údaje a úložiště tajných kódů. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Ujistěte se, že jsou tajné kódy a přihlašovací údaje uložené v zabezpečených umístěních, jako je Azure Key Vault, a nemusíte je vkládat do kódu nebo konfiguračních souborů.

Referenční informace: Informace o tajných kódech Azure Key Vault

Privilegovaný přístup

Další informace najdete v srovnávacím testu zabezpečení Azure: Privilegovaný přístup.

PA-1: Oddělení a omezení vysoce privilegovaných nebo administrativních uživatelů

Funkce

Místní účty Správa

Popis: Služba má koncept účtu místního správce. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Poznámky k funkcím: Obecně nedoporučujeme používat místní metody ověřování nebo účty a ty by měly být zakázané. Místo toho použijte Azure AD k ověření, pokud je to možné.

Pokyny ke konfiguraci: Obecně nedoporučujeme používat místní metody ověřování nebo účty a ty by měly být zakázané. Místo toho použijte Azure AD k ověření, pokud je to možné. Tato funkce není podporována pro zabezpečení této služby.

PA-7: Postupujte podle zásady správy (nejnižších oprávnění)

Funkce

Azure RBAC pro rovinu dat

Popis: Azure Role-Based Access Control (Azure RBAC) se dá použít ke spravovanému přístupu k akcím roviny dat služby. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Použití řízení přístupu na základě role (Azure RBAC) Azure ke správě přístupu k prostředkům Azure prostřednictvím předdefinovaných přiřazení rolí Role Azure RBAC je možné přiřadit uživatelům, skupinám, instančním objektům a spravovaným identitám.

Referenční informace: Podpora RBAC v Azure Key Vault

Ochrana dat

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana dat.

DP-3: Šifrování citlivých dat při přenosu

Funkce

Šifrování přenášených dat

Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny ke konfiguraci: Pro výchozí nasazení se nevyžadují žádné další konfigurace.

Vlastní pokyny: Nejsou vyžadovány žádné další konfigurace, protože je spravovaná platformou Azure.

Referenční informace: Funkce zabezpečení Azure Key Vault

DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení

Funkce

Šifrování neaktivních uložených dat pomocí klíčů platformy

Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje, veškerý neaktivní uložený obsah zákazníka se šifruje pomocí těchto spravovaných klíčů Microsoftu. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny ke konfiguraci: Pro výchozí nasazení se nevyžadují žádné další konfigurace.

Referenční informace: Azure Key Vault zabezpečené úložiště tajných kódů a klíčů

DP-5: Použití možnosti klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby

Funkce

Šifrování neaktivních uložených dat pomocí CMK

Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem je podporováno pro zákaznický obsah uložený službou. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Azure Key Vault je místem, kde ukládáte klíče pro šifrování klíče spravovaného zákazníkem (CMK). Pro řešení CMK máte možnost použít klíče chráněné softwarem nebo klíče chráněné modulem hardwarového zabezpečení (modul hardwarového zabezpečení).

Referenční informace: Azure Key Vault zabezpečené úložiště tajných kódů a klíčů

Poznámky k pokynům: Podrobnosti o klíči spravovaném zákazníkem a HSM najdete tady: https://techcommunity.microsoft.com/t5/azure-confidential-computing/azure-key-vault-managed-hsm-control-your-data-in-the-cloud/ba-p/3359310

DP-6: Použití zabezpečeného procesu správy klíčů

Funkce

Správa klíčů v Azure Key Vault

Popis: Služba podporuje integraci Azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pokud chcete bezpečně spravovat životní cyklus klíčů v trezoru klíčů, postupujte podle osvědčených postupů Azure Key Vault. To zahrnuje generování, distribuci, úložiště, obměně a odvolání klíčů.

Referenční informace: Správa klíčů Azure Key Vault

Microsoft Defender pro monitorování cloudu

Azure Policy předdefinované definice – Microsoft.KeyVault:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
klíče Key Vault by měly mít datum vypršení platnosti. Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času na ohrožení klíče. Doporučeným postupem zabezpečení je nastavit data vypršení platnosti kryptografických klíčů. Audit, Odepřít, Zakázáno 1.0.2
Key Vault tajné kódy by měly mít datum vypršení platnosti. Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času na jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů. Audit, Odepřít, Zakázáno 1.0.2

DP-7: Použití zabezpečeného procesu správy certifikátů

Funkce

Správa certifikátů v Azure Key Vault

Popis: Služba podporuje integraci azure Key Vault pro všechny certifikáty zákazníků. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pokud chcete bezpečně spravovat životní cyklus certifikátů v trezoru klíčů, postupujte podle osvědčených postupů azure Key Vault. To zahrnuje vytvoření a import klíče, obměně, odvolání, úložiště a vyprázdnění certifikátu.

Referenční informace: Správa certifikátů Azure Key Vault

Microsoft Defender pro monitorování cloudu

Azure Policy předdefinované definice – Microsoft.KeyVault:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Certifikáty by měly mít zadanou maximální dobu platnosti. Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby, po kterou může být certifikát platný v rámci vašeho trezoru klíčů. audit, zamítnutí, zakázáno 2.1.0-preview

Správa aktiv

Další informace najdete v tématu Srovnávací test zabezpečení Azure: Správa prostředků.

AM-2: Používejte pouze schválené služby

Funkce

Podpora služby Azure Policy

Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Konfigurace Azure Policy pomocí Microsoft Defenderu pro cloud pro auditování a vynucování konfigurací Key Vault Azure Pomocí služby Azure Monitor můžete vytvářet výstrahy v případech, kdy se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [odepřít] a [nasadit, pokud neexistuje].

Referenční informace: Zásady azure Key Vault

Protokolování a detekce hrozeb

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a detekce hrozeb.

LT-1: Povolení možností detekce hrozeb

Funkce

Microsoft Defender for Service / Nabídka produktů

Popis: Služba má řešení Microsoft Defenderu specifické pro konkrétní nabídku pro monitorování a upozorňování na problémy se zabezpečením. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Povolení programu Microsoft Defender pro Key Vault, když dostanete upozornění z programu Microsoft Defender pro Key Vault, prošetřete výstrahu a odpovíte na ni.

Referenční informace: Microsoft Defender for Azure Key Vault

LT-4: Povolení protokolování pro šetření zabezpečení

Funkce

Protokoly prostředků Azure

Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Povolte protokoly prostředků pro váš trezor klíčů. Protokoly prostředků pro Azure Key Vault můžou protokolovat aktivity operací klíče, jako je vytváření, načítání a odstraňování klíčů.

Referenční informace: Protokolování Key Vault Azure

Backup a obnovení

Další informace najdete v srovnávacím testu zabezpečení Azure: Zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Funkce

Azure Backup

Popis: Službu může zálohovat služba Azure Backup. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Funkce nativního zálohování služby

Popis: Služba podporuje svou vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Vlastní pokyny: K zálohování tajných kódů, klíčů a certifikátů použijte funkci nativního zálohování Azure Key Vault a ujistěte se, že je služba obnovitelná pomocí zálohovaných dat.

Referenční informace: Zálohování azure Key Vault

Další kroky