Базовая конфигурация системы безопасности Azure для Key Vault

Эти базовые показатели безопасности применяют рекомендации azure Security Benchmark версии 3.0 к Key Vault. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark, и связанному руководству, применимому к Key Vault.

Вы можете отслеживать эти базовые показатели безопасности и рекомендации, в которых есть Политика Azure определения, перечисленные с помощью Microsoft Defender для облака, в разделе "Соответствие нормативным требованиям". Каждый раздел управления содержит соответствующие определения Политика Azure, которые помогут оценить соответствие этого продукта элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Функции, неприменимые к Key Vault, исключены. Сведения о полном соответствии Key Vault с Azure Security Benchmark, см. в полном файле соответствия базового плана безопасности Key Vault.

Профиль безопасности

Профиль безопасности содержит общие сведения о поведении Key Vault, что может привести к увеличению соображений безопасности.

Атрибут поведения службы Значение
Категория продуктов Безопасность
Клиент может получить доступ к HOST / OS Нет доступа
Службу можно развернуть в виртуальной сети клиента. True
Хранит неактивный контент клиента True

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: Сетевая безопасность.

NS-1: установка границы сегментации сети

Компоненты

Интеграция с виртуальной сетью

Описание. Служба поддерживает развертывание в частных виртуальная сеть клиента (VNet). Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Azure Key Vault поддерживает конечные точки службы виртуальной сети, что позволяет ограничить доступ к хранилищу ключей к указанной виртуальной сети.

Справочник.Безопасность сети в Azure Key Vault

Поддержка группы безопасности сети

Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в подсетях. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте группы безопасности сети (NSG), чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или IP-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Помните, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.

NS-2: защита облачных служб с помощью элементов управления сетью

Компоненты

Описание: возможность фильтрации собственных IP-адресов службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Развертывание частных конечных точек для Azure Key Vault для создания частной точки доступа для ресурсов.

Справочник.Azure Key Vault Приватный канал

Отключение доступа к общедоступной сети

Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации ACL на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Отключение доступа к общедоступной сети с помощью правил фильтрации IP-адресов брандмауэра в Azure Key Vault.

Справочник.Безопасность сети в Azure Key Vault

Мониторинг в Microsoft Defender для облака.

Встроенные определения Политики Azure — Microsoft.KeyVault:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Предварительная версия. В Azure Key Vault должен быть отключен доступ по общедоступной сети Отключите доступ по общедоступной сети для своего хранилища ключей, чтобы оно было недоступно через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/akvprivatelink. Audit, Deny, Disabled 2.0.0-preview
Предварительная версия. Для Key Vault необходимо настроить частную конечную точку Приватный канал позволяет подключать Key Vault к ресурсам Azure без отправки трафика через общедоступный Интернет. Приватный канал обеспечивает защиту от кражи данных в рамках подхода Defense in Depth. Audit, Deny, Disabled 1.1.0 (предварительная версия)

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: Управление удостоверениями.

IM-1: Использование централизованной системы удостоверений и проверки подлинности

Компоненты

аутентификация Azure AD требуется для доступа к плоскости данных

Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.

Справочник. Проверка подлинности Key Vault Azure

Методы локальной проверки подлинности для доступа к плоскости данных

Описание. Методы локальной проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Примечания к функциям. Как правило, мы не рекомендуем использовать локальные методы проверки подлинности или учетные записи, и их следует отключить. Вместо этого используйте Azure AD для проверки подлинности по возможности.

Руководство по настройке. Как правило, мы не рекомендуем использовать локальные методы проверки подлинности или учетные записи, и их следует отключить. Вместо этого используйте Azure AD для проверки подлинности по возможности. Эта функция не поддерживается для защиты этой службы.

IM-3: Безопасное и автоматическое управление удостоверениями приложений

Компоненты

управляемые удостоверения.

Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. По возможности используйте управляемые удостоверения Azure вместо субъектов-служб, которые могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.

Справочник. Проверка подлинности Key Vault Azure

Субъекты-службы

Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Пользовательское руководство. Вместо субъектов-служб рекомендуется использовать управляемые удостоверения. Если субъекты-службы должны использоваться, ограничьте использование сценариями использования, в которых требуется доступ на основе пользователей, и управляемые удостоверения не поддерживаются, например потоки автоматизации или интеграция сторонних систем.

Справочник. Проверка подлинности Key Vault Azure

IM-7: Ограничение доступа к ресурсам на основе условий

Компоненты

Условный доступ для плоскости данных

Описание. Доступ к плоскости данных можно контролировать с помощью Azure AD политик условного доступа. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокирование рискованного входа или требование устройств, управляемых организацией, для конкретных приложений.

Справочник. Условный доступ в Azure Key Vault

IM-8: ограничение раскрытия учетных данных и секретов

Компоненты

Интеграция и хранилище учетных данных службы и секретов в Azure Key Vault

Описание. Плоскость данных поддерживает собственное использование Azure Key Vault для хранения учетных данных и секретов. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, вместо внедрения их в файлы кода или конфигурации.

Справочник. Сведения о секретах Key Vault Azure

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: Привилегированный доступ.

PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора

Компоненты

Локальные учетные записи Администратор

Описание: служба имеет концепцию локальной административной учетной записи. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Примечания к функциям. Как правило, мы не рекомендуем использовать локальные методы проверки подлинности или учетные записи, и их следует отключить. Вместо этого используйте Azure AD для проверки подлинности по возможности.

Руководство по настройке. Как правило, мы не рекомендуем использовать локальные методы проверки подлинности или учетные записи, и их следует отключить. Вместо этого используйте Azure AD для проверки подлинности по возможности. Эта функция не поддерживается для защиты этой службы.

PA-7. Следуйте принципу администрирования с предоставлением минимальных прав

Компоненты

Azure RBAC для плоскости данных

Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управления доступом к действиям плоскости данных службы. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к ресурсам Azure с помощью встроенных назначений ролей. Роли Azure RBAC можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям.

Справочные материалы.Поддержка RBAC в Azure Key Vault

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: Защита данных.

DP-3: шифрование передаваемых конфиденциальных данных

Компоненты

Шифрование данных при передаче

Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как она включена для развертывания по умолчанию.

Настраиваемое руководство. Дополнительные конфигурации не требуются, так как это управляется платформой Azure

Справочные материалы. Функции безопасности azure Key Vault

DP-4: включение шифрования неактивных данных по умолчанию

Компоненты

Шифрование неактивных данных с помощью ключей платформы

Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, все неактивное содержимое клиента шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как она включена для развертывания по умолчанию.

Справочник.Azure Key Vault безопасное хранение секретов и ключей

DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости

Компоненты

Шифрование неактивных данных с помощью CMK

Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Azure Key Vault хранит ключи для шифрования ключей, управляемых клиентом (CMK). Вы можете использовать ключи, защищенные программным обеспечением, или HSM (аппаратный модуль безопасности) для решения CMK.

Справочник.Azure Key Vault безопасное хранение секретов и ключей

Рекомендации. Сведения о ключе, управляемом клиентом, и сведения о HSM см. в статье: https://techcommunity.microsoft.com/t5/azure-confidential-computing/azure-key-vault-managed-hsm-control-your-data-in-the-cloud/ba-p/3359310

DP-6: безопасное управление ключами

Компоненты

Управление ключами в Azure Key Vault

Описание. Служба поддерживает интеграцию azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Следуйте рекомендациям azure Key Vault для безопасного управления жизненным циклом ключа в хранилище ключей. Сюда входят создание ключей, распределение, хранение, смена и отзыв.

Справочник.Управление ключами Key Vault Azure

Мониторинг в Microsoft Defender для облака.

Встроенные определения Политики Azure — Microsoft.KeyVault:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Для ключей Key Vault должна быть задана дата окончания срока действия Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. Audit, Deny, Disabled 1.0.2
Для секретов Key Vault должна быть задана дата окончания срока действия Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия. Audit, Deny, Disabled 1.0.2

DP-7: безопасное управление сертификатами

Компоненты

Управление сертификатами в Azure Key Vault

Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Следуйте рекомендациям azure Key Vault безопасно управлять жизненным циклом сертификата в хранилище ключей. Сюда входят создание и импорт ключей, смена, отзыв, хранение и очистка сертификата.

Справочник.Управление сертификатами в Azure Key Vault

Мониторинг в Microsoft Defender для облака.

Встроенные определения Политики Azure — Microsoft.KeyVault:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Предварительная версия. Сертификаты должны иметь указанный максимальный срок действия Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени, в течение которого сертификат может быть действителен в пределах хранилища ключей. Audit, Deny, Disabled 2.1.0-preview

Управление ресурсами

Дополнительные сведения см. в статье Azure Security Benchmark: управление активами.

AM-2: использование только утвержденных служб

Компоненты

Поддержка службы "Политика Azure"

Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций Key Vault Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную настройку в ресурсах Azure.

Справочник.Политика Key Vault Azure

Ведение журнала и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: Ведение журнала и обнаружение угроз.

LT-1. Включение возможностей обнаружения угроз

Компоненты

Microsoft Defender для службы или предложения продуктов

Описание. Служба предлагает решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Включите Microsoft Defender для Key Vault, когда вы получите оповещение от Microsoft Defender для Key Vault, изучите оповещение и ответите на него.

Справочник.Microsoft Defender для Azure Key Vault

LT-4. Включение ведения журнала для исследования безопасности

Компоненты

Журналы ресурсов Azure

Описание. Служба создает журналы ресурсов, которые могут предоставлять улучшенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Включение журналов ресурсов для хранилища ключей. Журналы ресурсов для Azure Key Vault могут регистрируют операции с ключами, такие как создание, извлечение и удаление ключей.

Справочник. Ведениежурнала Key Vault Azure

Резервное копирование и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: Резервное копирование и восстановление.

BR-1: обеспечение регулярного автоматического резервного копирования

Компоненты

Azure Backup

Описание: служба может создать резервную копию службы Azure Backup. Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Возможность резервного копирования в собственном коде службы

Описание: служба поддерживает собственную собственную возможность резервного копирования (если не используется Azure Backup). Подробнее.

Поддерживается Включен по умолчанию Ответственность за настройку
True Неверно Customer

Пользовательское руководство. Используйте встроенную функцию резервного копирования Azure Key Vault для резервного копирования секретов, ключей и сертификатов и обеспечения возможности восстановления службы с помощью данных резервного копирования.

Справочник.Резервное копирование Key Vault Azure

Дальнейшие действия