Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il modulo di protezione hardware gestito di Azure Key Vault è un modulo di sicurezza hardware basato sul cloud che protegge le chiavi crittografiche. Poiché il modulo di protezione hardware gestito viene spesso usato per proteggere i dati estremamente sensibili o critici per l'azienda, è fondamentale proteggere l'accesso ai moduli di protezione hardware, configurarli in base alle procedure consigliate per la sicurezza e monitorarli per individuare le minacce.
Questo articolo fornisce indicazioni su come proteggere al meglio la distribuzione del modulo di protezione hardware gestito di Azure Key Vault.
Sicurezza della rete
La sicurezza della rete include la protezione dell'HSM gestito con connettività di rete sicura, endpoint privati e controlli di accesso alla rete. Consente di ridurre l'esposizione del modulo di protezione hardware alle reti pubbliche e garantisce che sia consentito solo il traffico autorizzato.
Distribuire endpoint privati usando collegamento privato di Azure: usare endpoint privati per stabilire connettività privata e protetta all'istanza del modulo di protezione hardware gestito, impedire l'esposizione a Internet pubblico e ridurre i vettori di attacco. Per altre informazioni, vedere Integrrare HSM gestito con collegamento privato di Azure.
Disabilitare l'accesso alla rete pubblica: impedire l'accesso al servizio da indirizzi IP pubblici disabilitando l'accesso alla rete pubblica nella configurazione del modulo di protezione hardware gestito. Per altre informazioni, vedere Integrrare HSM gestito con collegamento privato di Azure.
Gestione delle identità
La gestione delle identità si concentra sulla protezione dell'autenticazione e dell'accesso alle risorse HSM gestite. Microsoft Entra offre una soluzione di identità centralizzata per la gestione dell'accesso ai piani dati e di gestione del modulo di protezione hardware.
Richiedi l'autenticazione di Microsoft Entra per l'accesso al piano dati: Microsoft Entra viene usato per impostazione predefinita per autenticare le operazioni del piano dati in HSM gestito, abilitando il controllo delle identità centralizzato e sicuro. Per altre informazioni, vedere Autenticazione di Microsoft Entra.
Usare le identità gestite per l'accesso sicuro alle applicazioni: le identità gestite sono abilitate per impostazione predefinita, consentendo alle applicazioni di eseguire l'autenticazione nel modulo di protezione hardware gestito senza archiviare le credenziali. Per altre informazioni, vedere Identità gestite di Microsoft Entra.
Eseguire l'autenticazione usando le entità servizio quando appropriato: usare le entità servizio per scenari automatizzati e accesso basato sul carico di lavoro. Per altre informazioni, vedere Gestione dei ruoli del modulo di protezione hardware gestito.
Usare i criteri di accesso condizionale per controllare l'accesso: definire i criteri di accesso condizionale in Microsoft Entra per limitare l'accesso in base a condizioni quali rischio utente, posizione o conformità del dispositivo. Per altre informazioni, vedere Accesso condizionale.
Usare i gruppi di sicurezza per l'accesso amministrativo: assegnare il ruolo di amministratore del modulo di protezione hardware a un gruppo di sicurezza Microsoft Entra anziché a singoli utenti. In questo modo si riduce il rischio di blocco accidentale se viene eliminato un account utente. Per indicazioni, vedere Controllo di accesso per il modulo di protezione hardware gestito.
Accesso con privilegi
L'accesso con privilegi enfatizza la protezione delle azioni amministrative e l'applicazione dei principi di accesso con privilegi minimi per ridurre il rischio di autorizzazioni non autorizzate o eccessive.
Bloccare l'accesso alle sottoscrizioni e ai gruppi di risorse: usare il controllo degli accessi in base al ruolo di Azure per controllare l'accesso amministrativo ai livelli di gruppo di gestione, sottoscrizione e gruppo di risorse. Per indicazioni, vedere Panoramica del controllo degli accessi in base al ruolo di Azure.
Usare i principi di accesso con privilegi minimi quando si assegnano ruoli: concedere solo il set minimo di autorizzazioni necessarie. Esaminare regolarmente le assegnazioni di ruolo. Per altre informazioni, vedere Gestione dei ruoli del modulo di protezione hardware gestito.
Evitare di assegnare più ruoli alla stessa identità: mantenere la separazione dei compiti assicurando che a un singolo utente o identità non vengano assegnati ruoli in conflitto. Per ulteriori informazioni, vedere Access control for Managed HSM.
Creare ruoli personalizzati con autorizzazioni precise: definire ruoli personalizzati per soddisfare requisiti di accesso specifici mantenendo un set di autorizzazioni sicuro. Per altre informazioni, vedere Controllo di accesso per il modulo di protezione hardware gestito.
Creare assegnazioni di ruolo per chiave usando il controllo degli accessi in base al ruolo locale: usare il modello di controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito per controllare l'accesso a livello di chiave singola. Per altre informazioni, vedere Controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito.
Abilitare Privileged Identity Management (PIM) per i ruoli amministrativi: usare Microsoft Entra Privileged Identity Management per applicare l'accesso JIT e ridurre il rischio di privilegi amministrativi permanenti. Per ulteriori informazioni, vedere Controllo di accesso per HSM gestito: Privileged Identity Management.
Registrazione e rilevamento delle minacce
La registrazione e il rilevamento delle minacce consentono di monitorare l'accesso e le operazioni nel modulo di protezione hardware gestito, consentendo di rilevare attività sospette e garantire la conformità ai criteri di sicurezza.
Abilitare la registrazione di controllo: Configura le impostazioni di diagnostica per abilitare la registrazione di controllo per il tuo HSM gestito. I log acquisisce tutte le richieste dell'API REST autenticate, le operazioni chiave e le azioni del dominio di sicurezza. I log possono essere inviati a un account di archiviazione di Azure, a un'area di lavoro Log Analytics o a Hub eventi. Per altre informazioni, vedere Registrazione del modulo di protezione hardware gestito.
Analizzare i log con Monitoraggio di Azure: usare Monitoraggio di Azure per raccogliere e analizzare i log dal modulo di protezione hardware gestito. I log possono essere sottoposti a query usando Log Analytics e visualizzati in dashboard o cartelle di lavoro. Per ulteriori informazioni, vedere Monitorare l'HSM gestito di Azure.
Conservare i log per la conformità e le indagini: assicurarsi che i log vengano conservati per una durata appropriata per soddisfare i requisiti di conformità e supportare le indagini forensi. Usare i criteri di conservazione di Azure Monitor Log Analytics per gestire l'archiviazione dei log. Per altre informazioni, vedere Conservazione dei log in Monitoraggio di Azure.
Configurare gli avvisi per gli eventi critici: configurare gli avvisi per notificare gli eventi critici, ad esempio tentativi di accesso non riusciti o attività insolite. Usare Azure Monitor per creare regole di avviso statiche o dinamiche basate su metriche o interrogazioni di log. Per ulteriori informazioni, vedere Configurare gli avvisi di HSM gestito.
Integrazione con Microsoft Sentinel: usare Microsoft Sentinel per rilevare e rispondere alle potenziali minacce. Configurare Microsoft Sentinel per monitorare i log del modulo di protezione hardware gestito e creare regole di analisi personalizzate per le operazioni sensibili. Per altre informazioni, vedere Configurazione di Microsoft Sentinel per il modulo di protezione hardware gestito di Azure.
Backup e ripristino
Il backup e il ripristino consentono di proteggersi da perdite accidentali o dannose di dati garantendo criteri di backup e conservazione appropriati.
Creare backup regolari del modulo di protezione hardware e a livello di chiave: pianificare i backup del modulo di protezione hardware e delle singole chiavi per evitare la perdita di dati. Per altre informazioni, vedere Backup completo e ripristino.
Preparare il recupero da disastri: seguire le procedure di ripristino per replicare gli HSM in caso di errore catastrofico. Assicurarsi di disporre del dominio di sicurezza, delle chiavi private e del backup più recente per ripristinare il modulo di protezione hardware. Per altre informazioni, vedere Guida al ripristino di emergenza.
Attiva la protezione dall'eliminazione: Abilita la protezione dall'eliminazione per impedire l'eliminazione permanente del modulo di sicurezza hardware o delle sue chiavi prima che scada il periodo di ritenzione. Per altre informazioni, vedere Panoramica dell'eliminazione temporanea.
Mantieni le risorse eliminate temporaneamente: l'eliminazione temporanea è abilitata per impostazione predefinita. Scegliere un periodo di conservazione compreso tra 7 e 90 giorni durante il quale è possibile recuperare gli elementi eliminati. Per altre informazioni, vedere Panoramica dell'eliminazione temporanea.
Proteggere il dominio di sicurezza per impedire il blocco crittografico: seguire le procedure consigliate per gestire il dominio di sicurezza e le relative chiavi per garantire la continuità aziendale e impedire l'accesso non autorizzato. Per altre informazioni, vedere Panoramica del dominio di sicurezza.
Comportamento e gestione delle vulnerabilità
La gestione del comportamento e della vulnerabilità fornisce indicazioni su come usare gli strumenti di imposizione dei criteri per mantenere la conformità alla sicurezza nell'ambiente in uso.
- Usare Criteri di Azure per applicare la conformità alla configurazione: definire e applicare regole di Criteri di Azure per controllare o bloccare le configurazioni non sicure. Per altre informazioni, vedere Integrare il modulo di protezione hardware gestito di Azure con Criteri di Azure.