Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Шифрование является важным шагом к обеспечению конфиденциальности данных, соответствия требованиям и расположения данных в Microsoft Azure. Это также одна из наиболее важных проблем безопасности на многих предприятиях. В этом разделе рассматриваются рекомендации по проектированию и управлению ключами.
Рекомендации по проектированию
Установите ограничения подписки и масштабирования в соответствие с Azure Key Vault.
Key Vault имеет ограничения транзакций для ключей и секретов. Сведения о регулировании транзакций на хранилище за определенный период времени см. в разделе об ограничениях Azure.
Key Vault служит границей безопасности, так как разрешения доступа для ключей, секретов и сертификатов находятся на уровне хранилища. Назначения политик доступа Key Vault предоставляют разрешения отдельно ключам, секретам или сертификатам. Они не поддерживают детализированные разрешения на уровне объектов, такие как определенное управление ключом, секретом или ключом сертификата.
Изолируйте секреты, специфичные для приложений и рабочих нагрузок, а также общие секреты по мере необходимости, чтобы управлять доступом.
Оптимизируйте премиум SKU, в которых используются ключи, защищенные аппаратным модулем безопасности (HSM).
Базовые HSM соответствуют требованиям FIPS 140-2 уровня 2. Управление выделенным устройством HSM Azure для соответствия FIPS 140-2 уровня 3 с учетом поддерживаемых сценариев.
Управление сменой ключей и истечением срока действия секрета.
Используйте сертификаты Key Vault для управления приобретением сертификатов и подписью. Настройте оповещения, уведомления и автоматическое продление сертификатов.
Задайте требования к аварийному восстановлению ключей, сертификатов и секретов.
Задайте возможности репликации и резервирования на случай отказа службы Key Vault. Задайте доступность и избыточность.
Мониторинг использования ключей, сертификатов и секретов.
Обнаружение несанкционированного доступа с помощью хранилища ключей или рабочей области Azure Monitor Log Analytics. Дополнительные сведения см. в статье "Мониторинг и оповещение" для Azure Key Vault.
Делегируйте создание и привилегированный доступ к Key Vault. Дополнительные сведения см. в статье Безопасность Azure Key Vault.
Задайте требования к использованию ключей, управляемых клиентом, для собственных механизмов шифрования, таких как шифрование службы хранилища Azure:
- Ключи, управляемые клиентом
- Шифрование всего диска для виртуальных машин (виртуальных машин)
- Шифрование данных в транзитном режиме
- Шифрование данных на месте хранения
Рекомендации по проектированию
Используйте федеративную модель Azure Key Vault, чтобы избежать ограничений масштабирования транзакций.
Azure RBAC — это рекомендуемая система авторизации для плоскости данных Azure Key Vault. Дополнительные сведения см. в статье "Управление доступом на основе ролей Azure" (Azure RBAC) и политики доступа (устаревшие версии).
Настройте Azure Key Vault с функцией мягкого удаления и политиками окончательной очистки, чтобы обеспечить защиту хранения для удаленных объектов.
Следуйте модели с минимальными привилегиями, ограничив авторизацию для окончательного удаления ключей, секретов и сертификатов специализированными настраиваемыми ролями Microsoft Entra.
Автоматизация процесса управления сертификатами и продления с помощью общедоступных центров сертификации для упрощения администрирования.
Создайте автоматизированный процесс для смены ключей и сертификатов.
Включите брандмауэр и конечные точки службы виртуальной сети в хранилище для управления доступом к хранилищу ключей.
Используйте рабочую область Azure Monitor Log Analytics, централизованную для платформы, для аудита использования ключей, сертификатов и секретов в каждом экземпляре Key Vault.
Делегируйте создание и управление Key Vault и привилегированным доступом, а также используйте политику Azure для принудительного обеспечения согласованной конфигурации, соответствующей требованиям.
По умолчанию используйте ключи, управляемые корпорацией Майкрософт, для основной функции шифрования, а при необходимости применяйте ключи, управляемые клиентом.
Не используйте централизованные экземпляры Key Vault для ключей или секретов приложений.
Чтобы избежать совместного использования секретов в разных средах, не используйте совместно экземпляры Key Vault между приложениями.