Metodtips vid användning av Managed HSM

Kontrollera åtkomsten till din hanterade HSM

Managed HSM är en molntjänst som skyddar krypteringsnycklar. Eftersom dessa nycklar är känsliga och affärskritiska bör du se till att skydda åtkomsten till dina hanterade HSM:er genom att endast tillåta auktoriserade program och användare. Den här artikeln innehåller en översikt över åtkomstmodellen. Här förklaras autentisering och auktorisering samt rollbaserad åtkomstkontroll.

  • Skapa en Azure Active Directory säkerhetsgrupp för HSM-administratörerna (i stället för att tilldela rollen Administratör till enskilda användare). Detta förhindrar "utlåsning av administration" om ett enskilt konto tas bort.
  • Lås åtkomst till dina hanteringsgrupper, prenumerationer, resursgrupper och hanterade HSM:er – Använd Azure RBAC för att styra åtkomsten till dina hanteringsgrupper, prenumerationer och resursgrupper
  • Skapa rolltilldelningar per nyckel med hjälp av hanterad HSM lokal RBAC.
  • Undvik att tilldela flera roller till samma huvudnamn för att upprätthålla uppdelningen av uppgifter.
  • Använd minsta behörighet för åtkomst till huvudnamn för att tilldela roller.
  • Skapa en anpassad rolldefinition med en exakt uppsättning behörigheter.

Välja regioner som stöder tillgänglighetszoner

  • För att säkerställa bästa möjliga tillgänglighet och zonåter återhämtning väljer du Azure-regioner där Tillgänglighetszoner stöds. Dessa regioner visas som "Rekommenderade regioner" i Azure Portal.

Backup

  • Se till att du gör regelbundna säkerhetskopior av din HSM. Säkerhetskopieringar kan göras på HSM-nivå och för specifika nycklar.

Aktivera loggning

Aktivera återställningsalternativ

  • Mjuk borttagning är på som standard. Du kan välja en kvarhållningsperiod mellan 7 och 90 dagar.
  • Aktivera rensningsskydd för att förhindra omedelbar permanent borttagning av HSM eller nycklar. När rensningsskydd finns på HSM eller nycklar förblir i borttagna tillstånd tills kvarhållningsdagarna har passerat.

Generera och importera nycklar från lokal HSM

Anteckning

Nycklar som skapas eller importeras till Managed HSM kan inte exporteras.

  • För att säkerställa långsiktig portabilitet och nyckeltillförlitlighet genererar du nycklar i din lokala HSM och importerar dem till Managed HSM. Du kommer att ha en kopia av din nyckel på ett säkert sätt lagrat i din lokala HSM för framtida användning.

Nästa steg