Обеспечьте безопасность ключей Azure Key Vault

Ключи Azure Key Vault защищают криптографические ключи, используемые для шифрования, цифровых подписей и операций упаковки ключей. В этой статье приведены рекомендации по безопасности, относящиеся к управлению криптографическими ключами.

Ключевые типы и уровни защиты

Azure Key Vault поддерживает различные типы ключей с различными уровнями защиты. Выберите подходящий тип ключа в зависимости от ваших требований к безопасности:

• Ключи, защищенные программным обеспечением (RSA, EC): ключи, защищенные сертифицированным программным обеспечением, определенным в FIPS 140-2 уровня 1. Подходит для большинства приложений, требующих операций шифрования и подписывания.

• Ключи, защищенные HSM (RSA-HSM, EC-HSM): ключи, защищенные FIPS 140-2 уровня 2, проверенные аппаратными модулями безопасности (HSM). Рекомендуется для сценариев высокой безопасности, требующих защиты ключей с помощью аппаратной поддержки.

• Управляемые ключи HSM: ключи в выделенных пулах HSM для одного арендатора, с сертифицированным оборудованием FIPS 140-2 уровня 3. Требуется для самых высоких требований к безопасности и соответствию требованиям.

Дополнительные сведения о типах ключей см. в разделе "Сведения о ключах Azure Key Vault".

Использование ключей и операции

Ограничить ключевые операции только теми, которые необходимы для приложения, чтобы свести к минимуму область атаки:

• Ограничьте операции с ключами: предоставление только необходимых разрешений (шифрование, расшифровка, подпись, проверка, упаковка ключа, распаковка ключа)
• Используйте соответствующие размеры ключей:
  • Ключи RSA: используйте минимум 2048-разрядную 4096-разрядную версию для сценариев высокой безопасности.
  • Ключи EC: использование кривых P-256, P-384 или P-521 на основе требований безопасности
• Отдельные ключи по назначению: используйте разные ключи для операций шифрования и подписывания, чтобы ограничить влияние, если ключ скомпрометирован.

Дополнительные сведения об операциях с ключами см. в разделе "Операции ключей" в Key Vault.

Смена ключей и управление версиями

Реализуйте обычную смену ключей, чтобы ограничить воздействие скомпрометированных ключей:

• Включите автоматическую смену ключей: настройте политики автоматического поворота для смены ключей без простоя приложения. См . статью "Настройка автоматической настройки ключа"
• Настройка частоты обновления: смена ключей шифрования по крайней мере ежегодно или чаще на основе требований соответствия
• Используйте управление версиями ключей: Key Vault автоматически обновляет ключи, позволяя легко поворачивать без нарушения существующих зашифрованных данных
• Планирование повторного шифрования. Для долгосрочных данных реализуйте стратегии повторного шифрования данных с помощью новых версий ключей.

Дополнительные сведения об автоповороте см. в "Настройка автоповорота криптографического ключа" в Azure Key Vault.

Резервное копирование ключей и восстановление

Защита от потери данных путем реализации надлежащих процедур резервного копирования и восстановления:

• Включение обратимого удаления: обратимое удаление позволяет восстановить удаленные ключи в течение периода хранения (7–90 дней). Обзор мягкого удаления Azure Key Vault
• Включение защиты очистки: предотвращение постоянного удаления ключей в течение периода хранения. См. раздел "Защита от очистки"
• Резервное копирование критически важных ключей: экспорт и безопасное хранение резервных копий ключей, которые защищают неизменяемые данные. См. статью о резервном копировании Azure Key Vault
• Процедуры восстановления документов: обслуживание модулей Runbook для сценариев восстановления ключей

Использование собственных ключей (BYOK)

При импорте собственных ключей в Key Vault следуйте рекомендациям по обеспечению безопасности.

• Используйте безопасную генерацию ключей: генерируйте ключи в HSM, соответствующих FIPS 140-2 уровня 2 или выше
• Защита ключей во время передачи: используйте процесс BYOK Key Vault для безопасной передачи ключей. См. раздел импорта ключей, защищенных HSM, в Key Vault (BYOK)
• Проверка импорта ключа: проверка ключевых атрибутов и разрешений после импорта
• Сохранение источника и метода передачи импортированных ключей: документируйте источник и метод передачи импортированных ключей.

Для получения дополнительной информации о BYOK см. Импорт ключей, защищённых с помощью HSM для Key Vault.

Выпуск ключей и аттестация

Для сценариев, требующих выпуска ключа в доверенных средах:

• Использование политик выдачи ключей: Настройка политик выдачи на основе аттестации для управления освобождением ключей из Key Vault
• Проверка аттестации: Убедитесь, что среды-запросчики предоставляют действительную аттестацию перед выпуском ключей
• Выпуски ключей аудита: мониторинг и ведение журнала всех операций выпуска ключей

Дополнительные сведения о выпуске ключа см. в разделе Azure Key Vault key release.

Мониторинг и аудит

Отслеживайте использование ключей для обнаружения несанкционированного доступа или подозрительных шаблонов:

• Включение ведения журнала диагностики: журнал всех ключевых операций для анализа безопасности. См. логирование Azure Key Vault
• Мониторинг ключевых операций: отслеживание шифрования, расшифровки, подписывания и проверки операций для установления шаблонов использования базовых показателей
• Настройте оповещения: настройте оповещения Azure Monitor для:
  • Необычные шаблоны доступа к ключам
  • Неудачные операции с ключами
  • Удаление или изменения ключевых элементов
  • Истечение срока действия ключа

См. сведения о мониторинге и оповещении Azure Key Vault.

Окончание срока действия ключей

При необходимости задайте даты окончания срока действия ключей:

• Установка срока действия временных ключей: ключи, используемые для ограниченного времени, должны иметь даты окончания срока действия
• Мониторинг ключей с истекающим сроком действия: используйте уведомления сетки событий для оповещения до истечения срока действия ключей. См. Azure Key Vault в качестве источника Event Grid
• Автоматизация обновления ключей. Реализация автоматизированных процессов для смены ключей до истечения срока действия

Связанные статьи по безопасности

• Защита Azure Key Vault — комплексное руководство по безопасности Key Vault
• Защита секретов Azure Key Vault — рекомендации по обеспечению безопасности секретов
• Защита сертификатов Azure Key Vault . Рекомендации по безопасности для сертификатов

Дальнейшие шаги

• Сведения о ключах Azure Key Vault
• Настройка автоматического обновления криптографического ключа в Azure Key Vault
• Руководство разработчика Azure Key Vault