Az Azure Key Vault biztonsága

Az Azure Key Vault védi a titkosítási kulcsokat, a tanúsítványokat (és a tanúsítványokkal társított titkos kulcsokat), valamint a titkos kulcsokat (például kapcsolati sztring és jelszavakat) a felhőben. Bizalmas és üzleti szempontból kritikus adatok tárolásakor azonban lépéseket kell tennie a tárolók és a bennük tárolt adatok biztonságának maximalizálása érdekében.

Ez a cikk áttekintést nyújt az Azure Key Vault biztonsági funkcióiról és ajánlott eljárásairól.

Feljegyzés

Az Azure Key Vault biztonsági ajánlásainak átfogó listájáért tekintse meg az Azure Key Vault biztonsági alapkonfigurációját.

Hálózati biztonság

A tárolók expozícióját csökkentheti annak megadásával, hogy mely IP-címek férhetnek hozzá. Az Azure Key Vault virtuális hálózati szolgáltatásvégpontjai lehetővé teszik egy adott virtuális hálózathoz való hozzáférés korlátozását. A végpontok lehetővé teszik az IPv4 -címtartományok (4-es internetprotokoll-verzió) listájának elérését is. Minden olyan felhasználó, aki ezeken a forrásokon kívülről csatlakozik a kulcstartóhoz, megtagadja a hozzáférést. További részletekért tekintse meg az Azure Key Vault virtuális hálózati szolgáltatásvégpontjait

A tűzfalszabályok életbe lépése után a felhasználók csak akkor olvashatnak adatokat a Key Vaultból, ha a kéréseik engedélyezett virtuális hálózatokból vagy IPv4-címtartományokból származnak. Ez a Key Vault Azure Portalról való elérésére is vonatkozik. Bár a felhasználók az Azure Portalon tallózhatnak egy kulcstartóhoz, előfordulhat, hogy nem tudják listázni a kulcsokat, titkos kulcsokat vagy tanúsítványokat, ha az ügyfélszámítógépük nem szerepel az engedélyezett listában. A megvalósítás lépéseit az Azure Key Vault tűzfalainak és virtuális hálózatainak konfigurálása című témakörben találja .

Az Azure Private Link Service lehetővé teszi az Azure Key Vault és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését egy privát végponton keresztül a virtuális hálózaton. Az Azure Private Endpoint egy olyan hálózati adapter, amely privátan és biztonságosan csatlakozik egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így lényegében bekapcsolja a szolgáltatást a virtuális hálózatba. A szolgáltatásba irányuló minden forgalom átirányítható a privát végponton keresztül, így nincs szükség átjárókra, NAT-eszközökre, ExpressRoute- vagy VPN-kapcsolatokra vagy nyilvános IP-címekre. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át, így kiküszöböli a nyilvános internet jelentette kitettséget. Csatlakozhat egy Azure-erőforrás egy példányához, így a hozzáférés-vezérlésben a legmagasabb szintű részletességet érheti el. A megvalósítás lépéseit lásd: Key Vault integrálása az Azure Private Linkkel

TLS és HTTPS

• A Key Vault előtérrendszere (adatsík) egy több-bérlős kiszolgáló. Ez azt jelenti, hogy a különböző ügyfelek kulcstartói ugyanazt a nyilvános IP-címet használhatják. Az elkülönítés érdekében minden HTTP-kérés hitelesítése és engedélyezése más kéréstől függetlenül történik.
• A HTTPS protokoll lehetővé teszi, hogy az ügyfél részt vegyen a TLS-egyeztetésben. Az ügyfelek kikényszeríthetik a TLS verzióját, és amikor egy ügyfél ezt teszi, a teljes kapcsolat a megfelelő szintű védelmet fogja használni. A Key Vault támogatja a TLS 1.2 és 1.3 protokollverziókat.

Feljegyzés

Az ügyfelek által használt TLS-verziót a Key Vault-naplók figyelésével figyelheti, és itt található a Kusto-minta lekérdezés.

A Key Vault hitelesítési beállításai

Amikor kulcstartót hoz létre egy Azure-előfizetésben, az automatikusan társítva lesz az előfizetés Microsoft Entra-bérlőjével. Mindkét sík minden hívójának regisztrálnia kell ebben a bérlőben, és hitelesítenie kell magát a kulcstartó eléréséhez. Az alkalmazások mindkét esetben három módon férhetnek hozzá a Key Vaulthoz:

• Csak alkalmazás: Az alkalmazás egy szolgáltatásnevet vagy egy felügyelt identitást jelöl. Ez az identitás az olyan alkalmazások leggyakoribb forgatókönyve, amelyeknek rendszeresen hozzá kell férnie a kulcstartóból származó tanúsítványokhoz, kulcsokhoz vagy titkos kulcsokhoz. Ahhoz, hogy ez a forgatókönyv működjön, az objectId alkalmazásnak meg kell adni a hozzáférési szabályzatban, és nem applicationId szabad megadnia vagy meg kell lennienull.
• Csak felhasználó: A felhasználó a kulcstartóhoz a bérlőben regisztrált bármely alkalmazásból hozzáfér. Ilyen típusú hozzáférés például az Azure PowerShell és az Azure Portal. Ahhoz, hogy ez a forgatókönyv működjön, a objectId felhasználót meg kell adni a hozzáférési szabályzatban, és nem applicationId szabad megadni vagy meg kell adninull.
• Alkalmazás-pluszfelhasználó (más néven összetett identitás): A felhasználónak hozzá kell férnie a kulcstartóhoz egy adott alkalmazásból , és az alkalmazásnak a felhasználó megszemélyesítéséhez az OBO-folyamatot kell használnia. Ahhoz, hogy ez a forgatókönyv működjön, mindkettőt applicationIdobjectId meg kell adni a hozzáférési szabályzatban. A applicationId rendszer azonosítja a szükséges alkalmazást, és azonosítja a objectId felhasználót. Ez a lehetőség jelenleg nem érhető el az Azure RBAC adatsíkhoz.

Az alkalmazás minden típusú hozzáférés esetén a Microsoft Entra-azonosítóval hitelesít. Az alkalmazás az alkalmazás típusától függően bármilyen támogatott hitelesítési módszert használ. Az alkalmazás jogkivonatot szerez be a síkban lévő erőforráshoz a hozzáférés biztosításához. Az erőforrás egy végpont a felügyeleti vagy adatsíkban az Azure-környezet alapján. Az alkalmazás a jogkivonatot használja, és egy REST API-kérést küld a Key Vaultnak. További információkért tekintse át a teljes hitelesítési folyamatot.

A két síkon történő hitelesítés egyetlen mechanizmusának modellje számos előnnyel jár:

• A szervezetek központilag szabályozhatják a hozzáférést a szervezet összes kulcstartója számára.
• Ha egy felhasználó távozik, azonnal elveszíti a hozzáférést a szervezet összes kulcstartója számára.
• A szervezetek a Microsoft Entra ID beállításaival testre szabhatják a hitelesítést, például engedélyezhetik a többtényezős hitelesítést a hozzáadott biztonság érdekében.

További információkért tekintse meg a Key Vault hitelesítési alapjait.

Az Access-modell áttekintése

A kulcstartóhoz való hozzáférést két interfészen keresztül lehet szabályozni: a felügyeleti síkon és az adatsíkon. A felügyeleti síkon kezeli magát a Key Vaultot. Ebben a síkban a műveletek közé tartozik a kulcstartók létrehozása és törlése, a Key Vault tulajdonságainak lekérése és a hozzáférési szabályzatok frissítése. Az adatsíkon dolgozik a kulcstartóban tárolt adatokkal. Hozzáadhat, törölhet és módosíthat kulcsokat, titkos kódokat és tanúsítványokat.

Mindkét sík a Microsoft Entra-azonosítót használja a hitelesítéshez. Az engedélyezéshez a felügyeleti sík azure-beli szerepköralapú hozzáférés-vezérlést (Azure RBAC), az adatsík pedig Key Vault hozzáférési szabályzatot és Azure RBAC-t használ a Key Vault adatsík-műveleteihez.

A kulcstartó mindkét síkban való eléréséhez minden hívónak (felhasználónak vagy alkalmazásnak) megfelelő hitelesítéssel és engedélyezéssel kell rendelkeznie. A hitelesítés létrehozza a hívó identitását. Az engedélyezés határozza meg, hogy a hívó milyen műveleteket hajthat végre. A Key Vaulttal való hitelesítés a Microsoft Entra-azonosítóval együtt működik, amely az adott biztonsági tag identitásának hitelesítéséért felelős.

A biztonsági tagok olyan objektumok, amelyek egy olyan felhasználót, csoportot, szolgáltatást vagy alkalmazást jelölnek, amely hozzáférést kér az Azure-erőforrásokhoz. Az Azure minden biztonsági taghoz egyedi objektumazonosítót rendel.

• A felhasználói biztonsági tagok azonosítják azokat a személyeket, akik a Microsoft Entra-azonosítóban profillal rendelkeznek.
• A csoportbiztonsági tag azonosítja a Microsoft Entra-azonosítóban létrehozott felhasználók egy csoportját. A csoporthoz rendelt szerepkörök vagy engedélyek a csoport összes felhasználójának meg vannak adva.
• A szolgáltatásnév egy olyan biztonsági egyszerű típus, amely egy alkalmazást vagy szolgáltatást azonosít, vagyis egy kódrészletet, nem pedig egy felhasználót vagy csoportot. A szolgáltatásnév objektumazonosítója az ügyfélazonosítója, és a felhasználónevéhez hasonlóan működik. A szolgáltatásnév ügyfélkódja vagy tanúsítványa a jelszavához hasonlóan működik. Számos Azure-szolgáltatás támogatja a felügyelt identitás hozzárendelését az ügyfélazonosító és a tanúsítvány automatizált felügyeletével. A felügyelt identitás a legbiztonságosabb és ajánlott lehetőség az Azure-ban történő hitelesítéshez.

További információ a Key Vault-hitelesítésről: Hitelesítés az Azure Key Vaultba.

Feltételes hozzáférés

A Key Vault támogatja a Microsoft Entra feltételes hozzáférési szabályzatokat. A feltételes hozzáférési szabályzatok használatával szükség esetén alkalmazhatja a megfelelő hozzáférési vezérlőket a Key Vaultra, hogy a szervezet biztonságban maradjon, és ha nincs rá szükség, ne használja a felhasználót.

További információ: Feltételes hozzáférés áttekintése

Emelt szintű hozzáférés

Az engedélyezés határozza meg, hogy a hívó milyen műveleteket hajthat végre. A Key Vaultban az engedélyezés azure-beli szerepköralapú hozzáférés-vezérlést (Azure RBAC) használ felügyeleti síkon, és azure RBAC- vagy Azure Key Vault-hozzáférési szabályzatokat az adatsíkon.

A tárolókhoz való hozzáférés két felületen vagy síkon keresztül történik. Ezek a síkok a felügyeleti és az adatsík.

• A felügyeleti síkon kezeli magát a Key Vaultot, és ez a tárolók létrehozásához és törléséhez használt felület. Emellett beolvashatók a kulcstartók tulajdonságai, és kezelhetők a hozzáférési szabályzatok.
• Az adatsík lehetővé teszi a kulcstartóban tárolt adatokkal való munkát. Hozzáadhat, törölhet és módosíthat kulcsokat, titkos kódokat és tanúsítványokat.

Az alkalmazások végpontokon keresztül érik el a síkokat. A két sík hozzáférési vezérlői egymástól függetlenül működnek. Ha hozzáférést szeretne adni egy alkalmazásnak a kulcsok kulcsok használatához egy kulcstartóban, az adatsík-hozzáférést az Azure RBAC vagy a Key Vault hozzáférési szabályzatával kell megadnia. Ha olvasási hozzáférést szeretne biztosítani a felhasználónak a Key Vault tulajdonságaihoz és címkéihez, de nem fér hozzá az adatokhoz (kulcsokhoz, titkos kulcsokhoz vagy tanúsítványokhoz), akkor hozzáférést biztosít a felügyeleti síkhoz az Azure RBAC-vel.

Az alábbi táblázat a felügyeleti és adatsíkok végpontjait mutatja be.

Hozzáférési sík	Hozzáférés végpontjai	Üzemeltetés	Hozzáférés-vezérlési mechanizmus
Felügyeleti sík	Globálisan: management.azure.com:443 A 21Vianet által üzemeltetett Microsoft Azure: management.chinacloudapi.cn:443 Amerikai Egyesült Államok kormánya által használt Azure: management.usgovcloudapi.net:443 Azure Germany: management.microsoftazure.de:443	Kulcstartók létrehozása, olvasása, frissítése és törlése Key Vault hozzáférési szabályzatok beállítása Key Vault-címkék beállítása	Azure RBAC-vel
Adatsík	Globálisan: <tároló-neve>.vault.azure.net:443 A 21Vianet által üzemeltetett Microsoft Azure: <tároló-neve>.vault.azure.cn:443 Amerikai Egyesült Államok kormánya által használt Azure: <tároló-neve>.vault.usgovcloudapi.net:443 Azure Germany: <tároló-neve>.vault.microsoftazure.de:443	Kulcsok: titkosítás, visszafejtés, wrapKey, unwrapKey, sign, verify, get, list, create, update, import, delete, recover, backup, restore, purge, rotáció (előzetes verzió), getrotationpolicy (előzetes verzió), setrotationpolicy (előzetes verzió), release(előzetes verzió) Tanúsítványok: managecontacts, getissuers, listissuers, setissuers, deleteissuers, manageissuers, get, list, create, import, update, delete, recover, backup, restore, purge Titkos kódok: lekérés, listázás, beállítás, törlés, helyreállítás, biztonsági mentés, visszaállítás, törlés	Key Vault hozzáférési szabályzat vagy Azure RBAC

A Key Vaulthoz való rendszergazdai hozzáférés kezelése

Amikor kulcstartót hoz létre egy erőforráscsoportban, a hozzáférést a Microsoft Entra ID használatával kezelheti. Lehetővé teszi a felhasználóknak vagy csoportoknak az erőforráscsoport kulcstartóinak kezelését. A megfelelő Azure-szerepkörök hozzárendelésével adott hatókörszinten adhat hozzáférést. Ha hozzáférést szeretne adni egy felhasználónak a kulcstartók kezeléséhez, egy előre meghatározott key vault Contributor szerepkört rendelhet hozzá a felhasználóhoz egy adott hatókörben. A következő hatókörszintek rendelhetők hozzá egy Azure-szerepkörhöz:

• Előfizetés: Az előfizetés szintjén hozzárendelt Azure-szerepkör az előfizetésen belüli összes erőforráscsoportra és erőforrásra vonatkozik.
• Erőforráscsoport: Az erőforráscsoport szintjén hozzárendelt Azure-szerepkör az adott erőforráscsoport összes erőforrására vonatkozik.
• Adott erőforrás: Az adott erőforráshoz hozzárendelt Azure-szerepkör az adott erőforrásra vonatkozik. Ebben az esetben az erőforrás egy adott kulcstartó.

Számos előre definiált szerepkör létezik. Ha egy előre definiált szerepkör nem felel meg az igényeinek, saját szerepkört is meghatározhat. További információ: Azure RBAC: Beépített szerepkörök

Fontos

Az Access Policy engedélymodell használatakor, ha egy felhasználó rendelkezik vagy Key Vault Contributor más szerepkörrel rendelkezik Contributoregy kulcstartó felügyeleti síkjának engedélyeivel, a felhasználó egy Key Vault hozzáférési szabályzat beállításával Microsoft.KeyVault/vaults/write hozzáférést adhat az adatsíkhoz. Szigorúan szabályoznia kell, hogy ki fér Contributor hozzá a kulcstartókhoz az Access Policy engedélymodelljével, hogy csak a jogosult személyek férhessenek hozzá a kulcstartókhoz, kulcsokhoz, titkos kulcsokhoz és tanúsítványokhoz. A probléma elkerülése érdekében ajánlott az új szerepköralapú hozzáférés-vezérlési (RBAC) engedélymodell használata. Az RBAC engedélyezési modell használatakor az engedélykezelés a „tulajdonos” és „felhasználói hozzáférés adminisztrátora” szerepkörökre korlátozódik, így elkülönülnek egymástól a biztonsági műveletekért és az általános adminisztratív műveletekért felelős szerepkörök.

Key Vault-adatokhoz való hozzáférés szabályozása

A Key Vault-kulcsokhoz, tanúsítványokhoz és titkos kulcsokhoz való hozzáférést az Azure RBAC vagy a Key Vault hozzáférési szabályzatai segítségével szabályozhatja.

További információk:

• Azure RBAC a Key Vault adatsík-műveleteihez.
• Key Vault hozzáférési szabályzat

Naplózás és figyelés

A Key Vault naplózása adatokat ment a tárolón végzett tevékenységekről. További részletekért tekintse meg a Key Vault naplózását.

Integrálhatja a Key Vaultot az Event Griddel, hogy értesítést kapjon, ha a kulcstartóban tárolt kulcs, tanúsítvány vagy titkos kulcs állapota megváltozott. További információ: Key Vault monitorozása az Azure Event Grid használatával

Fontos a kulcstartó állapotának monitorozása is, hogy a szolgáltatás a kívánt módon működjön. Ennek módjáról az Azure Key Vault monitorozása és riasztása című témakörben olvashat.

Biztonsági mentés és helyreállítás

Az Azure Key Vault helyreállítható törlési és törlési védelme lehetővé teszi a törölt tárolók és tárolóobjektumok helyreállítását. További részletekért tekintse meg az Azure Key Vault helyreállítható törlési áttekintését.

Emellett rendszeresen biztonsági másolatot kell készítenie a tárolóról a tárolóban lévő objektumok frissítésére/törlésére/létrehozására.

Következő lépések

• Az Azure Key Vault biztonsági alapkonfigurációja
• Az Azure Key Vault ajánlott eljárásai
• Az Azure Key Vault virtuális hálózati szolgáltatásvégpontjai
• Azure RBAC: Beépített szerepkörök