Metodtips för att skydda hanterad HSM

Den här artikeln innehåller metodtips för att skydda ditt Azure Key Vault Managed HSM-nyckelhanteringssystem. En fullständig lista över säkerhetsrekommendationer finns i Säkerhetsbaslinjen för Azure Managed HSM.

Kontrollera åtkomsten till din hanterade HSM

Managed HSM är en molntjänst som skyddar kryptografiska nycklar. Eftersom dessa nycklar är känsliga och viktiga för ditt företag måste du skydda dina hanterade HSM:er genom att endast tillåta åtkomst av auktoriserade program och användare. Hanterad HSM-åtkomstkontroll ger en översikt över åtkomstmodellen. Den förklarar autentisering, auktorisering och rollbaserad åtkomstkontroll (RBAC).

Så här kontrollerar du åtkomsten till din hanterade HSM:

• Skapa en Microsoft Entra-säkerhetsgrupp för HSM-administratörerna (i stället för att tilldela rollen Administratör till enskilda användare) för att förhindra "administrationsutelåsning" om ett enskilt konto tas bort.
• Lås åtkomsten till dina hanteringsgrupper, prenumerationer, resursgrupper och hanterade HSM:er. Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att styra åtkomsten till dina hanteringsgrupper, prenumerationer och resursgrupper.
• Skapa rolltilldelningar per nyckel med hjälp av managed HSM local RBAC.
• Undvik att tilldela flera roller till samma huvudnamn för att upprätthålla ansvarsfördelningen.
• Använd principen för åtkomst med minst behörighet för att tilldela roller.
• Skapa en anpassad rolldefinition med hjälp av en exakt uppsättning behörigheter.

Skapa säkerhetskopior

• Se till att du skapar regelbundna säkerhetskopior av din hanterade HSM.

  Du kan skapa säkerhetskopior på HSM-nivå och för specifika nycklar.

Aktivera loggning

• Aktivera loggning för din HSM.

  Du kan också konfigurera aviseringar.

Aktivera återställningsalternativ

• Mjuk borttagning är aktiverat som standard. Du kan välja en kvarhållningsperiod på mellan 7 och 90 dagar.

• Aktivera rensningsskydd för att förhindra omedelbar permanent borttagning av HSM eller nycklar.

  När rensningsskyddet är aktiverat förblir den hanterade HSM:en eller nycklarna i ett borttaget tillstånd tills kvarhållningsperioden har avslutats.

Nästa steg

• Hanterad HSM-säkerhetsbaslinje
• Fullständig säkerhetskopiering och återställning
• Hanterad HSM-loggning
• Hantera dina hanterade HSM-nycklar
• Hanterad HSM-rollhantering
• Översikt över hanterad HSM-mjuk borttagning