Поделиться через

Защита сертификатов Azure Key Vault

Сертификаты Azure Key Vault управляют сертификатами X.509 и связанными с ними закрытыми ключами для TLS/SSL, проверки подлинности и подписывания кода. В этой статье содержатся рекомендации по безопасности, относящиеся к управлению сертификатами.

Замечание

В этой статье рассматриваются рекомендации по обеспечению безопасности, относящиеся к сертификатам Key Vault. Полные рекомендации по безопасности Key Vault, включая безопасность сети, управление удостоверениями и доступом, а также архитектуру хранилища, см. в статье "Защита Azure Key Vault".

Хранилище сертификатов и формат

Сертификаты Key Vault объединяют сертификаты X.509 с закрытыми ключами и предоставляют возможности автоматического управления:

  • Храните сертификаты, а не секреты: всегда используйте тип объекта сертификата Key Vault, а не хранение сертификатов в качестве секретов. Объекты сертификата предоставляют:

    • Автоматическое управление жизненным циклом
    • Интеграция с центрами сертификации (ЦС)
    • Возможности автоматического продления
    • Встроенное управление версиями

  • Используйте доверенные центры сертификации: интеграция с поддерживаемыми центрами сертификации для автоматической выдачи и продления:

    • DigiCert
    • GlobalSign
    • Другие интегрированные ЦС

    См. Интеграция Key Vault с центрами выдачи сертификатов.

  • Импортируйте внешние сертификаты правильно: при импорте сертификатов из внешних источников:

    • Использование формата PFX или PEM
    • Включение полной цепочки сертификатов
    • Защита закрытых ключей во время импорта

    См. Импорт сертификата.

Дополнительные сведения о сертификатах см. в разделе "Сведения о сертификатах Azure Key Vault".

Управление жизненным циклом сертификатов

Реализуйте надлежащее управление жизненным циклом сертификатов для предотвращения истечения срока действия и сбоя:

  • Включить автоматическое продление: настройте автоматическое продление сертификатов, выданных интегрированными центрами сертификации. Обновление сертификатов Azure Key Vault

  • Настройка окон продления: настройте сертификаты для продления до истечения срока действия:

    • Начать продление с 80% времени существования сертификата
    • Начинайте продление 1-летних сертификатов за 292 дня до истечения срока действия.
    • Для 2-летних сертификатов продление начинается за 584 дня до истечения срока действия.

  • Мониторинг срока действия сертификата: используйте уведомления сетки событий для отслеживания событий жизненного цикла сертификата:

    • Срок действия сертификата почти истек (30, 15 и 7 дней до истечения срока действия)
    • Срок действия сертификата истек
    • Созданный или продленный сертификат

    Смотрите Azure Key Vault как источник Event Grid.

  • Сохранение инвентаризации сертификатов: отслеживание всех сертификатов, их целей и дат окончания срока действия

Дополнительные сведения о продлении см. в руководстве по настройке автообновления сертификатов в Key Vault.

Управление доступом к сертификату

Управление доступом к сертификатам и управлению ими:

  • Отдельные разрешения на сертификат: используйте Azure RBAC для предоставления определенных разрешений на сертификат:

    • Пользователь сертификата: чтение сертификатов и открытых ключей
    • Сотрудник по сертификации: управление жизненным циклом сертификатов (создание, импорт, продление, удаление)
    • Средство восстановления после очистки: восстановление удаленных сертификатов

  • Ограничение административного доступа: ограничение операций управления сертификатами только авторизованным персоналом

  • Использование управляемых удостоверений: приложения должны получать доступ к сертификатам с помощью управляемых удостоверений, а не субъектов-служб с сохраненными учетными данными.

См . статью "Предоставление доступа к сертификатам Key Vault с помощью Azure RBAC".

Политики выдачи сертификатов

Настройте политики сертификатов для применения требований к безопасности:

  • Задайте соответствующие сроки действия:

    • TLS/SSL-сертификаты: максимум 1 год (в соответствии с базовыми требованиями УЦ/Форума браузеров)
    • Внутренние сертификаты: на основе политики организации
    • Сертификаты подписывания кода: следуйте отраслевым стандартам

  • Используйте надежные ключевые алгоритмы:

    • RSA: минимум 2048-разрядная, 4096-разрядная версия для сценариев высокой безопасности
    • EC: кривые P-256, P-384 или P-521

  • Настройка альтернативных имен субъектов (SAN): включите все необходимые DNS-имена и IP-адреса.

  • Настройка расширений использования ключей. Укажите соответствующее использование ключей (цифровая подпись, шифрование ключей) и расширенное использование ключей (проверка подлинности сервера, проверка подлинности клиента)

Дополнительные сведения о политиках сертификатов см. в статье о создании сертификата Azure Key Vault.

Мониторинг сертификатов и оповещения

Отслеживание операций с сертификатами и событий жизненного цикла.

  • Включение ведения журнала диагностики: журнал всех операций с сертификатами, включая:

    • Создание и импорт сертификата
    • Попытки продления сертификата (успешное выполнение или сбой)
    • Доступ к сертификатам (получение сертификата, получение закрытого ключа)
    • Удаление сертификата

    См. ведение журнала Azure Key Vault.

  • Настройка оповещений о сроке истечения: Настройка оповещений Azure Monitor для:

    • Срок действия сертификатов истекает в течение 30 дней
    • Неудачные попытки продления
    • Доступ к сертификату для несанкционированных лиц

    См. сведения о мониторинге и оповещении Azure Key Vault.

  • Проверка использования сертификатов. Регулярно проверяйте, какие приложения и службы используют каждый сертификат.

Экспорт и резервное копирование сертификатов

Защита доступности сертификата при сохранении безопасности:

  • Управление операциями экспорта: ограничение того, кто может экспортировать сертификаты с закрытыми ключами (экспортируемый флаг в политике сертификатов)

  • Включение обратимого удаления: восстановление случайно удаленных сертификатов в течение срока хранения (7–90 дней). См. обзор мягкого удаления Azure Key Vault

  • Включение защиты от очистки: предотвращение постоянного удаления в течение периода хранения. См. раздел "Защита от очистки"

  • Резервное копирование критически важных сертификатов: экспорт и безопасное хранение резервных копий сертификатов для аварийного восстановления. См. статью о резервном копировании Azure Key Vault

  • Защита экспортированных сертификатов: при экспорте сертификатов:

    • Использование надежных паролей для PFX-файлов
    • Хранение экспортированных файлов в безопасных расположениях
    • Удаление временных файлов после использования
    • Аудит операций экспорта

Прозрачность и соответствие сертификатов

Следите за выдачой сертификатов:

  • Включение ведения журнала прозрачности сертификатов (CT): для общедоступных доверенных сертификатов убедитесь в соответствии требованиям CT

    • Журналы CT предоставляют открытые следы аудита выдачи сертификатов
    • Требуется для того, чтобы сертификаты были доверенными современными браузерами.

  • Цели сертификата документа: сохранение записей:

    • Назначение сертификата и приложение для владения
    • Процесс утверждения для выдачи сертификата
    • Процедуры продления сертификата

Самозаверяющие сертификаты

При использовании самозаверяемых сертификатов для тестирования или внутренних целей:

  • Ограничение до непроизводственных сред: самозаверяемые сертификаты не должны использоваться в рабочей среде для общедоступных служб.

  • Задайте соответствующие сроки действия: используйте более короткие сроки действия для самозаверяемых сертификатов (90 дней или меньше).

  • Управление распределением доверия: Документируйте, как самоподписанный сертификат распространяется клиентам.

  • Планирование миграции на сертификаты, выданные ЦС: Разработайте стратегию замены самоподписанных сертификатов на сертификаты, выданные ЦС, для использования в рабочей среде.

Дополнительные сведения о самозаверяемых сертификатах см. в статье "Создание сертификата с помощью Key Vault".

Дальнейшие шаги

  • Last updated on