Garis besar Azure untuk Key Vault
Garis besar keamanan ini menerapkan panduan dari Azure Security Benchmark versi 3.0 ke Key Vault. Azure Security Benchmark memberikan rekomendasi tentang cara mengamankan solusi cloud di Azure. Konten dikelompokkan berdasarkan kontrol keamanan yang ditentukan oleh Tolok Ukur Keamanan Azure dan panduan terkait yang berlaku untuk Key Vault.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya di mana ada definisi Azure Policy yang tercantum menggunakan Pertahanan Microsoft untuk Cloud, di bawah bagian Kepatuhan Terhadap Peraturan. Setiap bagian kontrol mencakup Definisi Azure Policy yang relevan untuk membantu mengukur kepatuhan Anda terhadap produk ini ke kontrol dan rekomendasi Azure Security Benchmark. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.
Catatan
Fitur yang tidak berlaku untuk Key Vault telah dikecualikan. Untuk melihat cara Key Vault memetakan sepenuhnya ke Azure Security Benchmark, lihat file pemetaan garis besar keamanan Key Vault lengkap.
Profil keamanan
Profil keamanan merangkum perilaku Key Vault berdampak tinggi, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Kategori Produk | Keamanan |
| Pelanggan dapat mengakses HOST / OS | Tidak Ada Akses |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | True |
| Menyimpan konten pelanggan saat tidak aktif | True |
Network security
Untuk informasi selengkapnya, lihat Azure Security Benchmark: Keamanan jaringan.
NS-1: Membangun batas segmentasi jaringan
Fitur
Integrasi Jaringan Virtual
Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Azure Key Vault mendukung titik akhir layanan jaringan virtual yang memungkinkan Anda membatasi akses brankas kunci ke jaringan virtual tertentu.
Referensi: Azure Key Vault Network Security
Dukungan Kelompok Keamanan Jaringan
Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan grup keamanan jaringan (NSG) untuk membatasi atau memantau lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan. Buat aturan NSG untuk membatasi port terbuka layanan Anda (seperti mencegah port manajemen diakses dari jaringan yang tidak tepercaya). Ketahuilah bahwa secara default, NSG menolak semua lalu lintas masuk tetapi mengizinkan lalu lintas dari jaringan virtual dan Azure Load Balancer.
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Fitur
Azure Private Link
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Sebarkan titik akhir privat untuk Azure Key Vault untuk membuat titik akses privat untuk sumber daya.
Referensi: Azure Key Vault Private Link
Menonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Nonaktifkan akses jaringan publik menggunakan aturan pemfilteran IP firewall Azure Key Vault.
Referensi: Keamanan jaringan Azure Key Vault
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.KeyVault:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Azure Key Vault harus menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk brankas kunci Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/akvprivatelink. | Audit, Tolak, Dinonaktifkan | pratinjau-2.0.0 |
| [Pratinjau]: Titik akhir privat harus dikonfigurasi untuk Azure Key Vault | Tautan privat menyediakan cara untuk menghubungkan Key Vault ke sumber daya Azure Anda tanpa mengirimkan lalu lintas melalui internet publik. Tautan privat memberikan perlindungan mendalam terhadap penyelundupan data. | Audit, Tolak, Dinonaktifkan | 1.1.0-pratinjau |
Manajemen Identitas
Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen identitas.
IM-1: Menggunakan identitas dan sistem autentikasi terpusat
Fitur
Autentikasi Azure AD Diperlukan untuk Akses Sarana Data
Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Autentikasi azure Key Vault
Metode Autentikasi Lokal untuk Akses Data Plane
Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Umumnya, kami tidak merekomendasikan penggunaan metode atau akun autentikasi lokal dan ini harus dinonaktifkan. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Umumnya, kami tidak merekomendasikan penggunaan metode atau akun autentikasi lokal dan ini harus dinonaktifkan. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan. Fitur ini tidak didukung untuk mengamankan layanan ini.
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Fitur
Identitas Terkelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan identitas terkelola Azure alih-alih perwakilan layanan jika memungkinkan, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure Active Directory (Azure AD). Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.
Referensi: Autentikasi azure Key Vault
Perwakilan Layanan
Deskripsi: Data plane mendukung autentikasi menggunakan perwakilan layanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Kustom: Disarankan untuk menggunakan identitas terkelola alih-alih perwakilan layanan. Ketika perwakilan layanan harus digunakan, batasi penggunaan untuk menggunakan skenario kasus di mana akses berbasis non-pengguna diperlukan dan identitas terkelola tidak didukung, seperti alur otomatisasi atau integrasi sistem pihak ke-3.
Referensi: Autentikasi azure Key Vault
IM-7: Membatasi akses sumber daya berdasarkan kondisi
Fitur
Akses Bersyar untuk Data Plane
Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyar Azure AD. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Tentukan kondisi dan kriteria yang berlaku untuk akses bersyar Azure Active Directory (Azure AD) dalam beban kerja. Pertimbangkan kasus penggunaan umum seperti memblokir atau memberikan akses dari lokasi tertentu, memblokir perilaku masuk berisiko, atau memerlukan perangkat yang dikelola organisasi untuk aplikasi tertentu.
Referensi: Akses bersyar Azure Key Vault
IM-8: Membatasi pemaparan info masuk dan rahasia
Fitur
Informasi Masuk Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault
Deskripsi: Data plane mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Pastikan bahwa rahasia dan kredensial disimpan di lokasi yang aman seperti Azure Key Vault, alih-alih menyematkannya ke dalam file kode atau konfigurasi.
Referensi: Tentang rahasia Azure Key Vault
Akses dengan hak istimewa
Untuk informasi selengkapnya, lihat Azure Security Benchmark: Akses istimewa.
PA-1: Memisahkan dan membatasi pengguna dengan hak istimewa tinggi/administratif
Fitur
Akun Admin Lokal
Deskripsi: Layanan memiliki konsep akun administratif lokal. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: Umumnya, kami tidak merekomendasikan penggunaan metode atau akun autentikasi lokal dan ini harus dinonaktifkan. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Umumnya, kami tidak merekomendasikan penggunaan metode atau akun autentikasi lokal dan ini harus dinonaktifkan. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan. Fitur ini tidak didukung untuk mengamankan layanan ini.
PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)
Fitur
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mengelola akses sumber daya Azure melalui penetapan peran bawaan. Peran RBAC Azure dapat ditetapkan ke pengguna, grup, perwakilan layanan, dan identitas terkelola.
Referensi: Dukungan RBAC Azure Key Vault
Perlindungan data
Untuk informasi selengkapnya, lihat Azure Security Benchmark: Perlindungan data.
DP-3: Mengenkripsi data sensitif saat transit
Fitur
Data dalam Enkripsi Transit
Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Panduan Kustom: Tidak ada konfigurasi tambahan yang diperlukan karena ini dikelola oleh Platform Azure
Referensi: Fitur keamanan Azure Key Vault
DP-4: Mengaktifkan enkripsi data tidak aktif secara default
Fitur
Enkripsi Data tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Azure Key Vault penyimpanan rahasia dan kunci yang aman
DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan
Fitur
Enkripsi Data tidak Aktif Menggunakan CMK
Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Azure Key Vault adalah tempat Anda menyimpan kunci untuk enkripsi kunci yang dikelola pelanggan (CMK). Anda memiliki opsi untuk menggunakan kunci yang dilindungi perangkat lunak atau kunci yang dilindungi HSM (modul keamanan perangkat keras) untuk solusi CMK Anda.
Referensi: Azure Key Vault penyimpanan rahasia dan kunci yang aman
Catatan panduan: Untuk detail kunci dan HSM yang dikelola pelanggan, silakan lihat: https://techcommunity.microsoft.com/t5/azure-confidential-computing/azure-key-vault-managed-hsm-control-your-data-in-the-cloud/ba-p/3359310
DP-6: Menggunakan proses manajemen kunci yang aman
Fitur
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Ikuti praktik terbaik Azure Key Vault untuk mengelola siklus hidup kunci Anda dengan aman di brankas kunci. Ini termasuk pembuatan kunci, distribusi, penyimpanan, rotasi, dan pencabutan.
Referensi: Manajemen kunci Azure Key Vault
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.KeyVault:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Kunci Key Vault harus memiliki tanggal kedaluwarsa | Kunci kriptografi harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Kunci yang valid selamanya memberikan lebih banyak waktu bagi penyerang potensial untuk menyusupi kunci tersebut. Menetapkan tanggal kedaluwarsa pada kunci kriptografi adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Rahasia Azure Key Vault harus memiliki tanggal kedaluwarsa | Rahasia harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak bersifat permanen. Rahasia yang berlaku selamanya memberi lebih banyak waktu kepada penyerang potensial untuk menyusupinya. Menetapkan tanggal kedaluwarsa pada rahasia adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
DP-7: Menggunakan proses manajemen sertifikat yang aman
Fitur
Manajemen Sertifikat di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Ikuti praktik terbaik Azure Key Vault untuk mengelola siklus hidup sertifikat Anda dengan aman di brankas kunci. Ini termasuk pembuatan/impor kunci, rotasi, pencabutan, penyimpanan, dan penghapusan menyeluruh sertifikat.
Referensi: Manajemen sertifikat Azure Key Vault
Pemantauan Microsoft Defender untuk Cloud
Definisi bawaan Azure Policy - Microsoft.KeyVault:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Sertifikat harus memiliki masa berlaku maksimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan durasi masa berlaku sertifikat dalam brankas kunci. | audit, tolak, dinonaktifkan | 2.1.0-preview |
Manajemen Aset
Untuk informasi selengkapnya, lihat Azure Security Benchmark: Manajemen aset.
AM-2: Hanya menggunakan layanan yang disetujui
Fitur
Dukungan Azure Policy
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Pertahanan Microsoft untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi Azure Key Vault Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek [tolak] dan [sebarkan jika tidak ada] Azure Policy untuk menerapkan konfigurasi aman di seluruh sumber daya Azure.
Referensi: Kebijakan azure Key Vault
Pengelogan dan Deteksi Ancaman
Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pengelogan dan deteksi ancaman.
LT-1: Mengaktifkan kemampuan deteksi ancaman
Fitur
Pertahanan Microsoft untuk Layanan / Penawaran Produk
Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Aktifkan Pertahanan Microsoft untuk Key Vault, saat Anda mendapatkan pemberitahuan dari Pertahanan Microsoft untuk Key Vault, selidiki, dan tanggapi pemberitahuan.
Referensi: Pertahanan Microsoft untuk Azure Key Vault
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Fitur
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimkannya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Aktifkan log sumber daya untuk brankas kunci Anda. Log sumber daya untuk Azure Key Vault dapat mencatat aktivitas operasi kunci seperti pembuatan, pengambilan, dan penghapusan kunci.
Referensi: Pengelogan Azure Key Vault
Cadangan dan pemulihan
Untuk informasi selengkapnya, lihat Azure Security Benchmark: Pencadangan dan pemulihan.
BR-1: Pastikan pencadangan otomatis secara rutin
Fitur
Pencadangan Azure
Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Kemampuan Pencadangan Asli Layanan
Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari selengkapnya.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Kustom: Gunakan azure Key Vault fitur pencadangan asli untuk mencadangkan rahasia, kunci, dan sertifikat Anda dan pastikan layanan dapat dipulihkan menggunakan data cadangan.
Referensi: Pencadangan Azure Key Vault
Langkah berikutnya
- Lihat gambaran umum Azure Security Benchmark V3
- Pelajari selengkapnya tentang Garis besar keamanan Azure