Обеспечьте безопасность Azure Key Vault

Azure Key Vault защищает криптографические ключи, сертификаты (и связанные с ними закрытые ключи) и секреты (например, строки подключения и пароли) в облаке. Однако при хранении конфиденциальных и критически важных для бизнеса данных необходимо выполнить действия по максимальной безопасности хранилищ и данных, хранящихся в них.

Рекомендации по безопасности в этой статье реализуют принципы нулевого доверия: "Проверить явно", "Использовать минимальный доступ к привилегиям" и "Предположить нарушение". Подробные рекомендации по нулю доверия см. в центре рекомендаций по нулю доверия.

В этой статье приведены рекомендации по безопасности, помогающие защитить развертывание Azure Key Vault.

Безопасность для конкретной службы

Azure Key Vault имеет уникальные рекомендации по безопасности, связанные с архитектурой хранилища и соответствующим использованием службы для хранения криптографических материалов.

Архитектура хранилища ключей

• Используйте одно хранилище ключей для каждого приложения, региона и среды: создайте отдельные хранилища ключей для разработки, предварительной подготовки и рабочей среды, чтобы снизить влияние нарушений.

  Хранилища ключей определяют границы безопасности для хранимых секретов. Группирование секретов в одном хранилище увеличивает радиус взрыва события безопасности, так как атаки могут получить доступ к секретам в разных областях. Чтобы управлять доступом по различным направлениям, подумайте, к каким секретам должно иметь доступ конкретное приложение, а затем разделите свои хранилища ключей в соответствии с этим разграничением. Разделение хранилищ ключей по приложениям — это самая распространенная граница. Но границы безопасности могут быть более детализированными для больших приложений, например, для каждой группы связанных служб.

• Используйте один Key Vault для каждого клиента в мультитенантных решениях: для мультитенантных решений SaaS используйте отдельное хранилище ключей для каждого клиента для поддержания изоляции данных. Это рекомендуемый подход для безопасной изоляции данных клиентов и рабочих нагрузок. См. статью "Многотенантность" и Azure Key Vault.

Хранилище объектов в Key Vault

• Не используйте Key Vault в качестве хранилища данных для хранения клиентских конфигураций или конфигураций служб: службы должны использовать Azure Storage с шифрованием данных на месте или диспетчер конфигурации Azure. Хранилище более эффективно для таких сценариев.

• Не сохраняйте сертификаты (принадлежащие клиенту или службе) как секреты: сертификаты, принадлежащие службе, должны храниться как сертификаты Key Vault и быть настроены для автоматической ротации. Дополнительные сведения см. в хранилище ключей Azure: сертификаты и общие сведения об автообмене в Azure Key Vault.

  • Содержимое клиента (за исключением секретов и сертификатов) не должно храниться в Key Vault: Key Vault не является хранилищем данных и не создано для масштабирования, как хранилище данных. Вместо этого используйте надлежащее хранилище данных, например Cosmos DB или служба хранилища Azure. У клиентов есть возможность использовать BYOK (Bring Your Own Key — принести собственный ключ) для шифрования данных в состоянии покоя. Этот ключ можно хранить в Azure Key Vault для шифрования данных в службе хранилища Azure.

Сетевая безопасность

Снижение сетевого воздействия крайне важно для защиты Azure Key Vault от несанкционированного доступа. Настройте ограничения сети на основе требований и вариантов использования вашей организации. Подробные сведения и пошаговые инструкции по настройке см. в разделе "Настройка сетевой безопасности для Azure Key Vault".

Эти функции безопасности сети перечислены от наиболее ограниченных к наименее ограниченным возможностям. Выберите конфигурацию, которая лучше всего подходит для варианта использования вашей организации.

• Отключите доступ к общедоступной сети и используйте только частные конечные точки: разверните Приватный канал Azure, чтобы установить частную точку доступа из виртуальной сети в Azure Key Vault и предотвратить доступ к общедоступному Интернету. Инструкции по реализации см. в разделе "Интеграция Key Vault с Приватный канал Azure".

  • Для некоторых сценариев использования клиентами требуется, чтобы доверенные службы Microsoft обходили брандмауэр; в таких случаях может потребоваться настройка хранилища для разрешения доверенных служб Microsoft. Полные сведения см. в разделе "Настройка сетевой безопасности: брандмауэр Key Vault" включен (только доверенные службы).

• Включение брандмауэра Key Vault: ограничение доступа к общедоступным статическим IP-адресам или виртуальным сетям. Полные сведения см. в разделе "Настройка сетевой безопасности: параметры брандмауэра".

  • Для некоторых сценариев использования клиентами требуется, чтобы доверенные службы Microsoft обходили брандмауэр; в таких случаях может потребоваться настройка хранилища для разрешения доверенных служб Microsoft.

• Используйте периметр безопасности сети. Определите границу логической сетевой изоляции для ресурсов PaaS (например, Azure Key Vault, хранилища Azure и базы данных SQL), развернутых за пределами периметра виртуальной сети вашей организации и (или) общедоступных статических IP-адресов. Полные сведения см. в разделе "Настройка сетевой безопасности: периметр безопасности сети".

  • publicNetworkAccess: SecuredByPerimeter Переопределяет значение "Разрешить доверенным службам Майкрософт обходить брандмауэр", что означает, что некоторые сценарии, которые зависят от этого доверия, не будут работать.

TLS и HTTPS

Azure Key Vault поддерживает версии протокола TLS 1.2 и 1.3, чтобы обеспечить безопасную связь между клиентами и службой.

• Принудительное управление версиями TLS: интерфейс Key Vault (плоскость данных) — это мультитенантный сервер, где хранилища ключей от разных клиентов могут совместно использовать один и тот же общедоступный IP-адрес. Для обеспечения изоляции каждый HTTP-запрос проходит проверку подлинности и авторизован независимо. Протокол HTTPS позволяет клиентам участвовать в согласовании TLS, и клиенты могут применить версию TLS, чтобы обеспечить все подключение с соответствующим уровнем защиты. См. ведение журнала Key Vault для примера запросов Kusto для мониторинга версий TLS, используемых клиентами.

Управление удостоверениями и доступом

Azure Key Vault использует идентификатор Microsoft Entra для проверки подлинности. Доступ управляется двумя интерфейсами: плоскостью управления (для управления самим Key Vault) и плоскостью данных (для работы с ключами, секретами и сертификатами). Дополнительные сведения о модели доступа и конечных точках см. в статье Azure RBAC для операций плоскости данных Key Vault.

• Включение управляемых удостоверений. Используйте управляемые удостоверения Azure для всех подключений приложений и служб к Azure Key Vault для устранения жестко закодированных учетных данных. Управляемые удостоверения помогают защитить проверку подлинности при удалении необходимости явных учетных данных. Сведения о методах и сценариях проверки подлинности см. в статье "Проверка подлинности Azure Key Vault".

• Используйте управление доступом на основе ролей: используйте контроль доступа на основе ролей Azure (RBAC) для управления доступом к Azure Key Vault. Дополнительные сведения см. в статье Azure RBAC для операций с данными в Key Vault.

  • Не используйте устаревшие политики доступа: устаревшие политики доступа имеют известные уязвимости безопасности и не поддерживают управление привилегированными удостоверениями (PIM) и не должны использоваться для критически важных данных и рабочих нагрузок. Azure RBAC устраняет потенциальные несанкционированные риски доступа Key Vault. См. статью "Управление доступом на основе ролей Azure" (Azure RBAC) и политики доступа (устаревшие версии).

  Это важно

  Модель разрешений RBAC позволяет назначения ролей уровня хранилища для постоянных назначений доступа и соответствующих назначений JIT для привилегированных операций. Назначения области объектов поддерживают только операции чтения; для административных операций, таких как управление доступом к сети, мониторинг и управление объектами, требуются разрешения на уровне хранилища. Для безопасной изоляции между командами приложений используйте одно Key Vault для каждого приложения.

• Назначьте привилегированные роли JIT: используйте Azure Privileged Identity Management (PIM) для назначения соответствующих ролей JIT Azure RBAC для администраторов и операторов Key Vault. См. обзор управления привилегированными удостоверениями (PIM) для получения подробностей.

  • Требовать утверждения для активации привилегированных ролей: добавьте дополнительный уровень безопасности, чтобы предотвратить несанкционированный доступ, гарантируя, что для активации ролей JIT требуется по крайней мере один утверждающий. См. настройку параметров роли Microsoft Entra в Управление привилегированными идентификаторами.
  • Принудительное применение многофакторной проверки подлинности для активации ролей: требуется MFA для активации ролей JIT для операторов и администраторов. См многофакторную проверку подлинности Microsoft Entra.

• Включение политик условного доступа Microsoft Entra: Key Vault поддерживает политики условного доступа Microsoft Entra для применения элементов управления доступом на основе таких условий, как расположение пользователя или устройство. Для получения дополнительной информации см. обзор условного доступа.

• Примените принцип наименьшей привилегии: ограничить количество пользователей с административными ролями и обеспечить предоставление пользователям только минимальных разрешений, необходимых для их роли. См. раздел "Повышение безопасности" с помощью принципа наименьших привилегий

Защита данных

Защита данных, хранящихся в Azure Key Vault, требует включения мягкого удаления, защиты от очистки и автоматической смены криптографических материалов.

• Включение обратимого удаления. Убедитесь, что обратимое удаление включено, чтобы удаленные объекты Key Vault могли быть восстановлены в течение 7–90 дней хранения. См. раздел Общие сведения о мягком удалении в Azure Key Vault.

• Включите защиту от полной очистки: включите защиту от полной очистки для защиты от случайного или вредоносного удаления объектов Key Vault даже после включения мягкого удаления. Обзор обратимого удаления Azure Key Vault: защита от очистки

• Реализуйте автообращение для криптографических ресурсов: настройте автоматическую смену ключей, секретов и сертификатов, чтобы свести к минимуму риск компрометации и обеспечить соответствие политикам безопасности. Обычная смена криптографических материалов является критической практикой безопасности. Сведения об автообращении в Azure Key Vault, настройке автообращения ключей, настройке автообращения сертификатов, автоматизации смены секретов для ресурсов с одним набором учетных данных проверки подлинности и автоматизации смены секретов для ресурсов с двумя наборами учетных данных проверки подлинности.

Соответствие требованиям и управление

Регулярные аудиты соответствия и политики управления гарантируют, что развертывание Key Vault соответствует стандартам безопасности и требованиям организации.

• Используйте Политика Azure для принудительной настройки: настройте Политика Azure для аудита и применения безопасных конфигураций для Azure Key Vault и настройте оповещения для отклонений от политики. См. Элементы управления соответствием нормативным требованиям политики Azure для Azure Key Vault.

Ведение журналов и обнаружение угроз

Комплексное ведение журнала и мониторинг обеспечивают обнаружение подозрительных действий и соответствие требованиям аудита.

• Включение ведения журнала аудита: ведение журнала Key Vault сохраняет сведения о операциях, выполняемых в хранилище. Для получения полной информации см. логирование в Key Vault.

• Включите Microsoft Defender для Key Vault, чтобы отслеживать и оповещать о подозрительной активности. Для получения дополнительной информации см. введение в Microsoft Defender для Key Vault.

• Включение оповещений журнала для событий безопасности: настройте оповещения для уведомления при регистрации критических событий, таких как сбои доступа или удаление секретов. См. сведения о мониторинге и оповещении Azure Key Vault.

• Мониторинг и оповещение. Интеграция Key Vault с Сеткой событий для получения уведомлений об изменениях ключей, сертификатов или секретов. Для получения дополнительной информации см. Мониторинг Key Vault с помощью Azure Event Grid.

Резервное копирование и восстановление

Регулярные резервные копии обеспечивают непрерывность бизнес-процессов и защищают от потери данных от случайного или вредоносного удаления.

• Включите собственное резервное копирование для Azure Key Vault: настройте и используйте встроенную функцию резервного копирования Azure Key Vault для резервного копирования секретов, ключей и сертификатов, обеспечивая возможность восстановления. См. резервное копирование в Azure Key Vault.

• Убедитесь, что существуют резервные копии для секретов, которые не могут быть воссозданы: Сделайте резервное копирование объектов Key Vault (например, ключей шифрования), которые нельзя повторно создать из других источников. См. резервное копирование в Azure Key Vault.

• Тестирование процедур резервного копирования и восстановления. Чтобы проверить эффективность процессов резервного копирования, регулярно проверяйте восстановление секретов, ключей и сертификатов Key Vault. См. резервное копирование в Azure Key Vault.

Связанные статьи по безопасности

Рекомендации по обеспечению безопасности, относящиеся к ключам, секретам и сертификатам, см. в статье:

• Защита ключей Azure Key Vault — рекомендации по лучшим практикам безопасности ключей, включая ротацию, защиту с использованием HSM и использование собственных ключей (BYOK)
• Защита секретов Azure Key Vault — рекомендации по обеспечению безопасности, относящиеся к секретам, включая смену, кэширование и мониторинг
• Защита сертификатов Azure Key Vault . Рекомендации по обеспечению безопасности для конкретных сертификатов, включая управление жизненным циклом, продление и интеграцию ЦС

Следующие шаги

• Базовый уровень безопасности Azure Key Vault
• Обеспечение безопасности управляемого аппаратного модуля защиты (HSM) в Azure
• Служебные конечные точки виртуальной сети для Azure Key Vault
• Azure RBAC: встроенные роли