Поделиться через

Шифрование и управление ключами в Azure

  • Статья

Шифрование — это важный шаг для обеспечения конфиденциальности данных, соответствия требованиям и места расположения данных в Microsoft Azure. Это также одна из наиболее важных проблем безопасности на многих предприятиях. В этом разделе рассматриваются вопросы проектирования и рекомендации по шифрованию и управлению ключами.

Рекомендации по проектированию

  • Задавайте ограничения для подписки и масштабирования по мере их применения к Azure Key Vault.

    Key Vault имеет ограничения на транзакции для ключей и секретов. Сведения о регулировании транзакций на хранилище в течение определенного периода времени см. в статье Ограничения Azure.

    Key Vault служит границей безопасности, так как разрешения на доступ к ключам, секретам и сертификатам находятся на уровне хранилища. Назначения политики доступа Key Vault предоставляют разрешения отдельно для ключей, секретов или сертификатов. Они не поддерживают детализированные разрешения на уровне объектов, таких как определенный ключ, секрет или управление ключами сертификата.

  • При необходимости изолируйте секреты и общие секреты для конкретного приложения и рабочей нагрузки, чтобы управлять доступом.

  • Оптимизируйте номера SKU ценовой категории Премиум, в которых требуются защищенные модулями HSM ключи.

    Базовые HSM соответствуют стандарту FIPS 140-2 уровня 2. Управляйте выделенным устройством HSM Azure для обеспечения соответствия требованиям FIPS 140-2 уровня 3, рассмотрев поддерживаемые сценарии.

  • Управляйте сменой ключей и истечением срока действия секрета.

  • Используйте сертификаты Key Vault для управления закупкой и подписыванием сертификатов. Задайте оповещения, уведомления и автоматическое продление сертификатов.

  • Задайте требования к аварийному восстановлению для ключей, сертификатов и секретов.

  • Настройте возможности репликации и отработки отказа для службы Key Vault. Настройте доступность и избыточность.

  • Отслеживайте использования ключей, сертификатов и секретов.

    Обнаруживайте несанкционированный доступ с помощью хранилища ключей или рабочей области Log Analytics Azure Monitor. Дополнительные сведения см. в статье Мониторинг и оповещения Azure Key Vault.

  • Делегируйте создание экземпляра и привилегированный доступ Key Vault. Дополнительные сведения см. в статье Безопасность Azure Key Vault.

  • Задайте требования для использования ключей, управляемых клиентом, для собственных механизмов шифрования, таких как шифрование службы хранилища Azure:

Рекомендации по проектированию

  • Используйте федеративную модель Azure Key Vault, чтобы избежать ограничений масштаба транзакций.

  • Azure RBAC — это рекомендуемая система авторизации для плоскости данных Azure Key Vault. Дополнительные сведения см. в статье "Управление доступом на основе ролей Azure" (Azure RBAC) и политики доступа (устаревшие версии).

  • Подготавливайте Azure Key Vault с включенными политиками обратимого удаления и очистки, чтобы разрешить хранение удаленных объектов.

  • Следуйте модели с минимальными привилегиями, ограничив авторизацию для окончательного удаления ключей, секретов и сертификатов специализированными настраиваемыми ролями Microsoft Entra.

  • Автоматизируйте процесс управления сертификатами и продления сертификатов с помощью общедоступных центров сертификации для простоты администрирования.

  • Установите автоматизированный процесс смены ключей и сертификатов.

  • Включите брандмауэр и конечные точки службы для виртуальной сети в хранилище, чтобы управлять доступом к хранилищу ключей.

  • Используйте рабочую область Log Analytics Azure Monitor для аудита использования ключей, сертификатов и секретов в каждом экземпляре Key Vault.

  • Делегируйте создание экземпляра и привилегированный доступу Key Vault и используйте Политику Azure для обеспечения согласованной и соответствующей требованиям конфигурации.

  • Используйте по умолчанию ключи, управляемые корпорацией Майкрософт, для основных функций шифрования, а ключи, управляемые клиентом, используйте при необходимости.

  • Не используйте централизованные экземпляры Key Vault для ключей или секретов приложений.

  • Чтобы избежать предоставления общего доступа к секретам в разных средах, не следует совместно использовать экземпляры Key Vault между приложениями.