Best practices bij het gebruik van beheerde HSM
Toegang tot uw beheerde HSM bepalen
Beheerde HSM is een cloudservice die versleutelingssleutels beschermt. Omdat deze sleutels gevoelig en bedrijfskritiek zijn, moet u de toegang tot uw beheerde HMS's beveiligen door alleen geautoriseerde toepassingen en gebruikers toe te staan. In dit artikel vindt u een overzicht van het toegangsmodel. Hier worden verificatie en autorisatie en op rollen gebaseerd toegangsbeheer uitgelegd.
- Maak een Azure Active Directory beveiligingsgroep voor de HSM-beheerders (in plaats van beheerdersrol toe te wijzen aan personen). Hierdoor wordt 'vergrendeling van beheer' voorkomen in het geval van verwijdering van een afzonderlijk account.
- Toegang tot uw beheergroepen, abonnementen, resourcegroepen en beheerde HMS's vergrendelen: gebruik Azure RBAC om de toegang tot uw beheergroepen, abonnementen en resourcegroepen te beheren
- Maak roltoewijzingen per sleutel met behulp van de lokale RBAC van de beheerde HSM.
- Als u de scheiding van taken wilt behouden, moet u voorkomen dat u meerdere rollen toewijst aan dezelfde principals.
- Gebruik de principal voor toegang met minste bevoegdheden om rollen toe te wijzen.
- Maak een aangepaste roldefinitie met een nauwkeurige set machtigingen.
Regio's kiezen die beschikbaarheidszones ondersteunen
- Voor de beste hoge beschikbaarheid en zone-tolerantie kiest u Azure-regio's waar Beschikbaarheidszones worden ondersteund. Deze regio's worden weergegeven als 'Aanbevolen regio's' in Azure Portal.
Backup
- Zorg ervoor dat u regelmatig back-ups van uw HSM maakt. Back-ups kunnen worden gemaakt op HSM-niveau en voor specifieke sleutels.
Schakel logboekregistratie in
- Schakel logboekregistratie in voor uw HSM. Stel ook waarschuwingen in.
Schakel herstelopties in
- Soft Delete is standaard ingeschakeld. U kunt een bewaarperiode tussen 7 en 90 dagen kiezen.
- Schakel beveiliging tegen opsmeeding in om te voorkomen dat HSM of sleutels onmiddellijk permanent worden verwijderd. Wanneer beveiliging tegen opsloden op de HSM is, blijven sleutels verwijderd totdat de bewaarperiode is verstreken.
Sleutels genereren en importeren vanuit een on-premises HSM
Notitie
Sleutels die zijn gemaakt of geĆÆmporteerd in beheerde HSM, kunnen niet worden geĆ«xporteerd.
- Genereer sleutels in uw on-premises HSM en importeer deze in Beheerde HSMom portabiliteit en duurzaamheid van sleutels op de lange termijn te garanderen. U hebt een kopie van uw sleutel die veilig is opgeslagen in uw on-premises HSM voor toekomstig gebruik.
Volgende stappen
- Zie Volledige back-up/herstel voor informatie over volledige back-up/herstel van HSM.
- Zie Logboekregistratie van beheerde HSM voor meer informatie over het gebruik van Azure Monitor voor het configureren van logboekregistratie
- Zie Beheerde HSM-sleutels beheren voor sleutelbeheer.
- Zie Rolbeheer van beheerde HSM voor het beheren van roltoewijzingen.
- Zie Overzicht van managed HSM soft-delete (Overzicht van het verwijderen van beheerde HSM's) voor herstelopties.