Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Key Vault protegge chiavi crittografiche, certificati, nonché le chiavi private associate ai certificati, e segreti (ad esempio stringhe di connessione e password) nel cloud. Quando si archiviano dati sensibili e critici per l'azienda, tuttavia, è necessario adottare misure per massimizzare la sicurezza delle casseforti e dei dati archiviati in esse.
Le raccomandazioni sulla sicurezza in questo articolo implementano i principi Zero Trust: "Verificare in modo esplicito", "Usare l'accesso con privilegi minimi" e "Presupporre violazione". Per indicazioni complete su Zero Trust, vedere Zero Trust Guidance Center.
Questo articolo fornisce raccomandazioni sulla sicurezza per proteggere la distribuzione di Azure Key Vault.
Sicurezza specifica del servizio
Azure Key Vault ha considerazioni di sicurezza univoche relative all'architettura della cassaforte e all'uso appropriato del servizio per l'archiviazione di materiali crittografici.
Architettura dell'insieme di credenziali delle chiavi
Usare un insieme di credenziali delle chiavi per applicazione, area e ambiente: creare insiemi di credenziali delle chiavi separati per ambienti di sviluppo, preproduzione e produzione per ridurre l'impatto delle violazioni.
Gli insiemi di credenziali delle chiavi definiscono i limiti di sicurezza per i segreti archiviati. Il raggruppamento dei segreti nello stesso insieme di credenziali aumenta il raggio d'attacco di un evento di sicurezza perché gli attacchi potrebbero essere in grado di accedere ai segreti in tutti i contesti. Per ridurre l'accesso ai vari contesti, considerare i segreti a cui un'applicazione specifica deve avere accesso e quindi separare gli insiemi di credenziali delle chiavi in base a questa delineazione. La separazione degli insiemi di credenziali delle chiavi per applicazione è il limite più comune. I limiti di sicurezza, tuttavia, possono essere più granulari per applicazioni di grandi dimensioni, ad esempio per ogni gruppo di servizi correlati.
Utilizzare un Key Vault per tenant nelle soluzioni multi-tenant: per le soluzioni SaaS multi-tenant, usare un Key Vault separato per ogni tenant per mantenere l'isolamento dei dati. Questo è l'approccio consigliato per l'isolamento sicuro dei dati e dei carichi di lavoro dei clienti. Vedere Multi-tenancy e Azure Key Vault.
Archiviazione oggetti in Key Vault
Non usare Key Vault come archivio dati per memorizzare le configurazioni dei clienti o le configurazioni del servizio: i servizi dovrebbero usare Azure Storage con crittografia dei dati a riposo o Gestione configurazione di Azure. L'archiviazione è più efficiente per questi scenari.
Non archiviare certificati (di proprietà del cliente o del servizio) come segreti: i certificati di proprietà del servizio devono essere archiviati come certificati di Key Vault e configurati per l'autorotazione. Per ulteriori informazioni, vedere Azure Key Vault: Certificati e Comprendere l'autorotazione in Azure Key Vault.
- Il contenuto del cliente (esclusi i segreti e i certificati) non deve essere archiviato in Key Vault: Key Vault non è un archivio dati e non è progettato per ridimensionare come un archivio dati. Usare invece un archivio dati appropriato, ad esempio Cosmos DB o Archiviazione di Azure. I clienti hanno la possibilità di usare BYOK (Bring Your Own Key) per la crittografia a riposo. Questa chiave può essere archiviata in Azure Key Vault per crittografare i dati in Archiviazione di Azure.
Sicurezza di rete
La riduzione dell'esposizione alla rete è fondamentale per proteggere Azure Key Vault dall'accesso non autorizzato. Configurare le restrizioni di rete in base ai requisiti e al caso d'uso dell'organizzazione.
Queste funzionalità di sicurezza di rete sono elencate dalla maggior parte delle funzionalità limitate alle funzionalità meno limitate. Scegliere la configurazione più adatta al caso d'uso dell'organizzazione.
Disabilitare l'accesso alla rete pubblica e usare solo Endpoint privati: distribuire Azure Private Link per stabilire un punto di accesso privato da una rete virtuale ad Azure Key Vault e impedire l'esposizione all'internet pubblico. Per i passaggi di implementazione, vedere Integrare Key Vault con collegamento privato di Azure.
- Alcuni scenari dei clienti richiedono servizi Microsoft attendibili per eludere il firewall; in questi casi potrebbe essere necessario configurare il servizio di archiviazione per consentire i Servizi Microsoft Attendibili. Per informazioni dettagliate, vedere Sicurezza di rete: Firewall di Key Vault abilitato (solo servizi attendibili).
Abilitare il Firewall di Key Vault: limitare l'accesso agli indirizzi IP statici pubblici o alle reti virtuali. Per informazioni dettagliate, vedere Sicurezza di rete di Key Vault: impostazioni del firewall.
- Alcuni scenari dei clienti richiedono servizi Microsoft attendibili per eludere il firewall; in questi casi potrebbe essere necessario configurare il servizio di archiviazione per consentire i Servizi Microsoft Attendibili.
Usare il perimetro di sicurezza di rete: definire un limite di isolamento della rete logica per le risorse PaaS (ad esempio, Azure Key Vault, Archiviazione di Azure e database SQL) distribuite all'esterno del perimetro della rete virtuale dell'organizzazione e/o indirizzi IP statici pubblici. Per informazioni dettagliate, vedere Sicurezza di rete: perimetro di sicurezza di rete)
- "publicNetworkAccess": "SecuredByPerimeter" esegue l'override di "Consenti ai servizi Microsoft attendibili di ignorare il firewall", vale a dire che alcuni scenari che richiedono tale attendibilità non funzioneranno.
TLS e HTTPS
Azure Key Vault supporta le versioni del protocollo TLS 1.2 e 1.3 per garantire la comunicazione sicura tra client e servizio.
- Applicare il controllo della versione TLS: il front-end di Key Vault (piano dati) è un server multi-tenant in cui i Key Vault di clienti diversi possono condividere lo stesso indirizzo IP pubblico. Per ottenere l'isolamento, ogni richiesta HTTP viene autenticata e autorizzata in modo indipendente. Il protocollo HTTPS consente ai client di partecipare alla negoziazione TLS e i client possono applicare la versione TLS per garantire che l'intera connessione usi il livello di protezione corrispondente. Vedere Registrazione di Key Vault per un esempio di query Kusto per il monitoraggio delle versioni di TLS usate dai client.
Gestione delle identità e degli accessi
Azure Key Vault usa Microsoft Entra ID per l'autenticazione. L'accesso viene controllato tramite due interfacce: il piano di controllo (per la gestione di Key Vault stesso) e il piano dati (per l'uso di chiavi, segreti e certificati). Per informazioni dettagliate sul modello di accesso e sugli endpoint, vedere Azure RBAC per le operazioni nel piano dati di Key Vault.
Abilitare le identità gestite di Azure: usare le identità gestite di Azure per tutte le connessioni di app e servizi ad Azure Key Vault per eliminare le credenziali codificate in modo statico. Le identità gestite consentono di proteggere l'autenticazione rimuovendo la necessità di credenziali esplicite. Per i metodi e gli scenari di autenticazione, vedere Autenticazione di Azure Key Vault.
Usare il controllo degli accessi in base al ruolo: utilizzare il Controllo degli accessi in base al ruolo di Azure (RBAC) per gestire l'accesso ad Azure Key Vault. Per ulteriori informazioni, consultare Azure RBAC per le operazioni del piano dati di Key Vault.
- Non usare i criteri di accesso legacy: i criteri di accesso legacy hanno vulnerabilità di sicurezza note e non supportano Privileged Identity Management (PIM) e non devono essere usati per i dati e i carichi di lavoro critici. Il controllo degli accessi in base al ruolo di Azure riduce i potenziali rischi di accesso non autorizzato a Key Vault. Consultare Controllo degli accessi in base al ruolo (Azure RBAC) e criteri di accesso (legacy).
Importante
Il modello di autorizzazione di controllo degli accessi in base al ruolo consente assegnazioni di ruolo a livello di vault per le assegnazioni di accesso continuo e idonee (Just-In-Time, JIT) per le operazioni con privilegi. Le assegnazioni a livello di oggetto supportano solo operazioni di lettura; le operazioni amministrative come il controllo dell'accesso alla rete, il monitoraggio e la gestione degli oggetti richiedono autorizzazioni a livello di vault. Per garantire l'isolamento sicuro tra i team delle applicazioni, utilizzare un Key Vault per ogni applicazione.
Assegnare ruoli con privilegi JIT (Just-In-Time): usare Azure Privileged Identity Management (PIM) per assegnare ruoli RBAC JIT di Azure destinati ad amministratori e operatori di Key Vault. Per informazioni dettagliate, vedere Privileged Identity Management (PIM).
- Richiedi approvazioni per l'attivazione dei ruoli con privilegi: aggiungere un ulteriore livello di sicurezza per impedire l'accesso non autorizzato assicurando che almeno un responsabile approvazione sia necessario per attivare i ruoli JIT. Vedere Configurare le impostazioni dei ruoli di Microsoft Entra in Privileged Identity Management.
- Applicare l'autenticazione a più fattori per l'attivazione dei ruoli: richiedere la MFA per attivare i ruoli JIT per operatori e amministratori. Vedere Autenticazione a più fattori Di Microsoft Entra.
Abilitare i criteri di accesso condizionale di Microsoft Entra: Key Vault supporta questi criteri per applicare i controlli di accesso in base a condizioni come la posizione utente o il dispositivo. Per altre informazioni, vedere Panoramica dell'accesso condizionale.
Applicare il principio dei privilegi minimi: limitare il numero di utenti con ruoli amministrativi e assicurarsi che agli utenti vengano concesse solo le autorizzazioni minime necessarie per il proprio ruolo. Vedere Migliorare la sicurezza con il principio dei privilegi minimi
Protezione dei dati
Per proteggere i dati archiviati in Azure Key Vault è necessario abilitare l'eliminazione temporanea, la protezione dall'eliminazione e l'implementazione della rotazione automatizzata dei materiali crittografici.
Attivare l'eliminazione temporanea: assicurarsi che l'eliminazione temporanea sia abilitata in modo che gli oggetti key Vault eliminati possano essere recuperati entro un periodo di conservazione da 7 a 90 giorni. Vedere Panoramica dell'eliminazione temporanea di Azure Key Vault.
Attiva la protezione dalla eliminazione definitiva: Abilita la protezione dalla eliminazione definitiva per evitare l'eliminazione accidentale o dannosa degli oggetti di Key Vault anche dopo l'abilitazione dell'eliminazione temporanea. Vedere Panoramica dell'eliminazione temporanea di Azure Key Vault: Protezione dalla rimozione
Implementare l'autorotazione per gli asset di crittografia: configurare la rotazione automatica di chiavi, segreti e certificati per ridurre al minimo il rischio di compromissione e garantire la conformità ai criteri di sicurezza. La rotazione regolare dei materiali crittografici è una pratica di sicurezza critica. Vedere Informazioni sull'autorotazione in Azure Key Vault, Configurare l'autorotazione delle chiavi, Configurare l'autorotazione dei certificati, Automatizzare la rotazione dei segreti per le risorse con un set di credenziali di autenticazione e Automatizzare la rotazione dei segreti per le risorse con due set di credenziali di autenticazione.
Conformità e governance
Controlli di conformità e criteri di governance regolari assicurano che la distribuzione di Key Vault rispetti gli standard di sicurezza e i requisiti dell'organizzazione.
- Usare Criteri di Azure per applicare la configurazione: configurare Criteri di Azure per controllare e applicare configurazioni sicure per Azure Key Vault e configurare avvisi per le deviazioni dai criteri. Vedi controlli di conformità normativa dei criteri di Azure per Azure Key Vault.
Registrazione e rilevamento delle minacce
La registrazione e il monitoraggio completi consentono di rilevare attività sospette e conformità ai requisiti di controllo.
Abilitare la registrazione di controllo: la registrazione di Key Vault salva le informazioni sulle operazioni eseguite nell'insieme di credenziali. Per informazioni dettagliate, vedere Registrazione di Key Vault.
Abilitare Microsoft Defender per Key Vault: abilitare Microsoft Defender per Key Vault per monitorare la ricerca e gli avvisi relativi alle attività sospette. Per altre informazioni, vedere Introduzione a Microsoft Defender per Key Vault.
Abilitare gli avvisi di log per gli eventi di sicurezza: configurare gli avvisi per ricevere una notifica quando vengono registrati eventi critici, ad esempio errori di accesso o eliminazioni dei segreti. Vedere Monitoraggio e avvisi per Azure Key Vault.
Monitoraggio e avviso: integrare Key Vault con Griglia di eventi per ricevere notifiche sulle modifiche apportate a chiavi, certificati o segreti. Per ulteriori dettagli, vedere Monitoraggio di Key Vault con Azure Event Grid.
Backup e ripristino
I backup regolari garantiscono la continuità aziendale e proteggono dalla perdita di dati da eliminazioni accidentali o dannose.
Abilitare il backup nativo per Azure Key Vault: configurare e usare la funzionalità di backup nativo di Azure Key Vault per eseguire il backup di segreti, chiavi e certificati, garantendo la recuperabilità. Vedere Backup di Azure Key Vault.
Assicurarsi di eseguire il backup dei segreti che non possono essere ricreati: eseguire il backup degli oggetti Key Vault (ad esempio chiavi di crittografia) che non possono essere ricreati da altre origini. Vedere Backup di Azure Key Vault.
Testare le procedure di backup e ripristino: per verificare l'efficacia dei processi di backup, testare regolarmente il ripristino di segreti, chiavi e certificati di Key Vault. Vedere Backup di Azure Key Vault.
Articoli sulla sicurezza correlati
Per le procedure consigliate di sicurezza specifiche per chiavi, segreti e certificati, vedere:
- Proteggere le chiavi di Azure Key Vault : procedure consigliate per la sicurezza specifiche delle chiavi, tra cui rotazione, protezione HSM e BYOK
- Proteggere i segreti di Azure Key Vault : procedure consigliate per la sicurezza specifiche dei segreti, tra cui rotazione, memorizzazione nella cache e monitoraggio
- Proteggere i certificati di Azure Key Vault - Procedure consigliate per la sicurezza specifiche dei certificati, tra cui la gestione del ciclo di vita, il rinnovo e l'integrazione della CA