Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Key Vault защищает криптографические ключи, сертификаты (и связанные с ними закрытые ключи) и секреты (например, строки подключения и пароли) в облаке. Однако при хранении конфиденциальных и критически важных для бизнеса данных необходимо выполнить действия по максимальной безопасности хранилищ и данных, хранящихся в них.
В этой статье приводятся рекомендации по обеспечению безопасности развертывания Azure Key Vault.
Архитектура хранилища ключей
Используйте одно хранилище ключей для каждого приложения, региона и среды: создайте отдельные хранилища ключей для разработки, предварительной подготовки и рабочей среды, чтобы снизить влияние нарушений.
Хранилища ключей определяют границы безопасности для хранимых секретов. Группировка секретов в одном хранилище увеличивает зону воздействия события безопасности, так как атаки могут получить доступ к секретам разных областей. Чтобы управлять доступом по различным направлениям, подумайте, к каким секретам должно иметь доступ конкретное приложение, а затем разделите свои хранилища ключей в соответствии с этим разграничением. Разделение хранилищ ключей по приложениям — это самая распространенная граница. Но границы безопасности могут быть более детализированными для больших приложений, например, для каждой группы связанных служб.
Используйте один Key Vault для каждого клиента в мультитенантных решениях: для мультитенантных решений SaaS используйте отдельное хранилище ключей для каждого клиента для поддержания изоляции данных. Дополнительные сведения см. в "Многотенантность и Azure Key Vault".
Хранилище объектов в Key Vault
Не используйте Key Vault в качестве хранилища данных для хранения клиентских конфигураций или конфигураций служб: службы должны использовать Azure Storage с шифрованием данных на месте или диспетчер конфигурации Azure. Хранилище более эффективно для таких сценариев.
Не сохраняйте сертификаты (принадлежащие клиенту или службе) как секреты: сертификаты, принадлежащие службе, должны храниться как сертификаты Key Vault и быть настроены для автоматической ротации. Дополнительные сведения см. в хранилище ключей Azure: сертификаты и общие сведения об автообмене в Azure Key Vault.
- Содержимое клиента (за исключением секретов и сертификатов) не должно храниться в Key Vault: Key Vault не является хранилищем данных и не создано для масштабирования, как хранилище данных. Вместо этого используйте надлежащее хранилище данных, например Cosmos DB или служба хранилища Azure. У клиентов есть возможность использовать BYOK (Bring Your Own Key — принести собственный ключ) для шифрования данных в состоянии покоя. Этот ключ можно хранить в Azure Key Vault для шифрования данных в службе хранилища Azure.
Управление защитной позицией и уязвимостями
- Используйте Политика Azure для принудительной настройки: настройте Политика Azure для аудита и применения безопасных конфигураций для Azure Key Vault и настройте оповещения для отклонений от политики. См. Элементы управления соответствием нормативным требованиям политики Azure для Azure Key Vault.
Сетевая безопасность
Эти функции безопасности сети перечислены от наиболее ограниченных к наименее ограниченным возможностям. Выберите конфигурацию, которая лучше всего подходит для варианта использования вашей организации.
Отключите доступ к общедоступной сети и используйте только частные конечные точки: разверните Приватный канал Azure, чтобы установить частную точку доступа из виртуальной сети в Azure Key Vault и предотвратить доступ к общедоступному Интернету. Инструкции по реализации см. в разделе "Интеграция Key Vault с Приватный канал Azure".
- Для некоторых сценариев использования клиентами требуется, чтобы доверенные службы Microsoft обходили брандмауэр; в таких случаях может потребоваться настройка хранилища для разрешения доверенных служб Microsoft. Полные сведения см. в разделе "Безопасность сети: брандмауэр Key Vault" (только доверенные службы).
Включение брандмауэра Key Vault: ограничение доступа к общедоступным статическим IP-адресам или виртуальным сетям. Полные сведения см. в разделе "Безопасность сети Key Vault: параметры брандмауэра".
- Для некоторых сценариев использования клиентами требуется, чтобы доверенные службы Microsoft обходили брандмауэр; в таких случаях может потребоваться настройка хранилища для разрешения доверенных служб Microsoft.
Используйте периметр безопасности сети. Определите границу логической сетевой изоляции для ресурсов PaaS (например, Azure Key Vault, хранилища Azure и базы данных SQL), развернутых за пределами периметра виртуальной сети вашей организации и (или) общедоступных статических IP-адресов. Полные сведения см. в разделе "Безопасность сети: периметр сетевой безопасности")
- "publicNetworkAccess": "SecuredByPerimeter" переопределяет параметр "Разрешить доверенным службам Microsoft обходить брандмауэр", что означает, что некоторые сценарии, требующие этого доверия, не будут работать.
Управление идентификацией
Включение управляемых удостоверений. Используйте управляемые удостоверения Azure для всех подключений приложений и служб к Azure Key Vault для устранения жестко закодированных учетных данных. Управляемые удостоверения помогают защитить проверку подлинности при удалении необходимости явных учетных данных. Дополнительные сведения см. в разделе проверки подлинности Azure Key Vault.
Используйте управление доступом на основе ролей: используйте контроль доступа на основе ролей Azure (RBAC) для управления доступом к Azure Key Vault. Дополнительные сведения см. в статье Azure RBAC для операций с данными в Key Vault.
- Не используйте устаревшие политики доступа: не используйте устаревшие политики доступа, так как они не поддерживают управление привилегированными пользователями (PIM). Azure RBAC устраняет потенциальные несанкционированные риски доступа Key Vault. См. статью "Управление доступом на основе ролей Azure" (Azure RBAC) и политики доступа (устаревшие версии).
Назначьте привилегированные роли JIT: используйте Управление привилегиями Azure (PIM) для назначения RBAC ролей JIT, доступных администраторам и операторам Key Vault. См. обзор управления привилегированными удостоверениями (PIM) для получения подробностей.
- Требовать утверждения для активации привилегированных ролей: добавьте дополнительный уровень безопасности, чтобы предотвратить несанкционированный доступ, гарантируя, что для активации ролей JIT требуется по крайней мере один утверждающий. См. настройку параметров роли Microsoft Entra в Управление привилегированными идентификаторами.
- Принудительное применение многофакторной проверки подлинности для активации ролей: требуется MFA для активации ролей JIT для операторов и администраторов. См многофакторную проверку подлинности Microsoft Entra.
Включение политик условного доступа Microsoft Entra: Key Vault поддерживает политики условного доступа Microsoft Entra для применения элементов управления доступом на основе таких условий, как расположение пользователя или устройство. Для получения дополнительной информации см. обзор условного доступа.
Примените принцип наименьшей привилегии: ограничить количество пользователей с административными ролями и обеспечить предоставление пользователям только минимальных разрешений, необходимых для их роли. См. раздел "Повышение безопасности" с помощью принципа наименьших привилегий
Защита данных
Включение обратимого удаления. Убедитесь, что обратимое удаление включено, чтобы удаленные объекты Key Vault могли быть восстановлены в течение 7–90 дней хранения. См. раздел Общие сведения о мягком удалении в Azure Key Vault.
Включите защиту от полной очистки: включите защиту от полной очистки для защиты от случайного или вредоносного удаления объектов Key Vault даже после включения мягкого удаления. Обзор обратимого удаления Azure Key Vault: защита от очистки
Реализуйте автообращение для криптографических ресурсов: настройте автоматическую смену ключей, секретов и сертификатов, чтобы свести к минимуму риск компрометации и обеспечить соответствие политикам безопасности. Обычная смена криптографических материалов является критической практикой безопасности. Сведения об автообращении в Azure Key Vault, настройке автообращения ключей, настройке автообращения сертификатов, автоматизации смены секретов для ресурсов с одним набором учетных данных проверки подлинности и автоматизации смены секретов для ресурсов с двумя наборами учетных данных проверки подлинности.
Ведение журналов и обнаружение угроз
Включение ведения журнала аудита: ведение журнала Key Vault сохраняет сведения о операциях, выполняемых в хранилище. Для получения полной информации см. логирование в Key Vault.
Включите Microsoft Defender для Key Vault, чтобы отслеживать и оповещать о подозрительной активности. Для получения дополнительной информации см. введение в Microsoft Defender для Key Vault.
Включение оповещений журнала для событий безопасности: настройте оповещения для уведомления при регистрации критических событий, таких как сбои доступа или удаление секретов. См. сведения о мониторинге и оповещении Azure Key Vault.
Мониторинг и оповещение. Интеграция Key Vault с Сеткой событий для получения уведомлений об изменениях ключей, сертификатов или секретов. Для получения дополнительной информации см. Мониторинг Key Vault с помощью Azure Event Grid.
Резервное копирование и восстановление
Включите собственное резервное копирование для Azure Key Vault: настройте и используйте встроенную функцию резервного копирования Azure Key Vault для резервного копирования секретов, ключей и сертификатов, обеспечивая возможность восстановления. См. резервное копирование в Azure Key Vault.
Убедитесь, что существуют резервные копии для секретов, которые не могут быть воссозданы: Сделайте резервное копирование объектов Key Vault (например, ключей шифрования), которые нельзя повторно создать из других источников. См. резервное копирование в Azure Key Vault.
Тестирование процедур резервного копирования и восстановления. Чтобы проверить эффективность процессов резервного копирования, регулярно проверяйте восстановление секретов, ключей и сертификатов Key Vault. См. резервное копирование в Azure Key Vault.