Обеспечьте безопасность ключей Azure Key Vault

Azure Key Vault ключи защищают криптографические ключи, используемые для шифрования, цифровых подписей и операций упаковки ключей. В этой статье приведены рекомендации по безопасности, относящиеся к управлению криптографическими ключами.

Ключевые типы и уровни защиты

Azure Key Vault поддерживает различные типы ключей с различными уровнями защиты. Выберите подходящий тип ключа в зависимости от ваших требований к безопасности:

• Ключи, защищенные программным обеспечением (RSA, EC): ключи, защищенные сертифицированным программным обеспечением, определенным в FIPS 140-2 уровня 1. Подходит для большинства приложений, требующих операций шифрования и подписывания.

• Ключи, защищенные HSM (RSA-HSM, EC-HSM): ключи, защищенные аппаратными модулями безопасности (HSM). Все новые ключи и версии ключей создаются на проверенных в соответствии с FIPS 140-3 уровня 3 модулях безопасности HSM (платформа HSM 2). Рекомендуется для сценариев высокой безопасности, требующих защиты ключей с помощью аппаратной поддержки.

• Управляемые ключи HSM: ключи в выделенных пулах HSM с оборудованием, сертифицированным по стандарту FIPS 140-3 уровня 3. Требуется для самых высоких требований к безопасности и соответствию требованиям.

Дополнительные сведения о типах ключей см. в разделе About Azure Key Vault key.

Использование ключей и операции

Ограничить ключевые операции только теми, которые необходимы для приложения, чтобы свести к минимуму область атаки:

• Ограничьте операции с ключами: предоставление только необходимых разрешений (шифрование, расшифровка, подпись, проверка, упаковка ключа, распаковка ключа)
• Используйте соответствующие размеры ключей:
  • Ключи RSA: используйте минимум 2048-разрядную 4096-разрядную версию для сценариев высокой безопасности.
  • Ключи EC: использование кривых P-256, P-384 или P-521 на основе требований безопасности
• Отдельные ключи по назначению: используйте разные ключи для операций шифрования и подписывания, чтобы ограничить влияние, если ключ скомпрометирован.

Дополнительные сведения о ключевых операциях см. в разделе Key operations in Key Vault.

Смена ключей и управление версиями

Реализуйте обычную смену ключей, чтобы ограничить воздействие скомпрометированных ключей:

• Включите автоматическую смену ключей: настройте политики автоматического поворота для смены ключей без простоя приложения. См . статью "Настройка автоматической настройки ключа"
• Установка частоты поворота: смена ключей шифрования по крайней мере каждые два года или чаще на основе требований соответствия требованиям
• Использовать управление версиями ключей: Key Vault автоматически выполняет управление версиями ключей, что позволяет без нарушения обеспечивать существующие зашифрованные данные.
• Планирование повторного шифрования. Для долгосрочных данных реализуйте стратегии повторного шифрования данных с помощью новых версий ключей.

Дополнительные сведения о ротации см. в разделе Настройка автоматической ротации криптографического ключа в Azure Key Vault.

Резервное копирование ключей и восстановление

Защита от потери данных путем реализации надлежащих процедур резервного копирования и восстановления:

• Включение обратимого удаления: обратимое удаление позволяет восстановить удаленные ключи в течение периода хранения (7–90 дней). См. обзор мягкого удаления Azure Key Vault
• Включение защиты очистки: предотвращение постоянного удаления ключей в течение периода хранения. См. раздел "Защита от очистки"
• Резервное копирование критически важных ключей: экспорт и безопасное хранение резервных копий ключей, которые защищают неизменяемые данные. См. Azure Key Vault бэкап
• Процедуры восстановления документов: обслуживание модулей Runbook для сценариев восстановления ключей

Использование собственных ключей (BYOK)

При импорте собственных ключей в Key Vault следуйте рекомендациям по обеспечению безопасности.

• Используйте безопасное создание ключей: создайте ключи в поддерживаемой локальной среде HSM , которая соответствует вашим требованиям к соответствию
• Защита ключей при передаче: используйте процесс BYOK в Key Vault для безопасной передачи ключей. См. раздел Импорт HSM-защищённых ключей в Key Vault (BYOK)
• Проверка импорта ключа: проверка ключевых атрибутов и разрешений после импорта
• Сохранение источника и метода передачи импортированных ключей: документируйте источник и метод передачи импортированных ключей.

Для получения дополнительной информации о BYOK см. раздел Импорт ключей, защищенных HSM, для Key Vault.

Выпуск ключей и аттестация

Для сценариев, требующих выпуска ключа в доверенных средах:

• Используйте политики освобождения ключей: Настройте политики освобождения на базе аттестации для управления освобождением ключей из Key Vault
• Проверка аттестации: Убедитесь, что среды-запросчики предоставляют действительную аттестацию перед выпуском ключей
• Выпуски ключей аудита: мониторинг и ведение журнала всех операций выпуска ключей

Дополнительные сведения об освобождении ключа см. в разделе Azure Key Vault: освобождение ключа.

Мониторинг и аудит

Отслеживайте использование ключей для обнаружения несанкционированного доступа или подозрительных шаблонов:

• Включение ведения журнала диагностики: журнал всех ключевых операций для анализа безопасности. См. Azure Key Vault ведение журнала
• Мониторинг ключевых операций: отслеживание шифрования, расшифровки, подписывания и проверки операций для установления шаблонов использования базовых показателей
• Настройка оповещений. Настройка оповещений Azure Monitor для:
  • Необычные шаблоны доступа к ключам
  • Неудачные операции с ключами
  • Удаление или изменения ключевых элементов
  • Истечение срока действия ключа

См. Мониторинг и оповещения для Azure Key Vault.

Окончание срока действия ключей

При необходимости задайте даты окончания срока действия ключей:

• Установка срока действия временных ключей: ключи, используемые для ограниченного времени, должны иметь даты окончания срока действия
• Мониторинг ключей с истекающим сроком действия: используйте уведомления сетки событий для оповещения до истечения срока действия ключей. См. Azure Key Vault как источник Event Grid
• Автоматизация обновления ключей. Реализация автоматизированных процессов для смены ключей до истечения срока действия

Связанные статьи по безопасности

• Secure Azure Key Vault — комплексное руководство по безопасности Key Vault
• Защита секретов Azure Key Vault — рекомендации по обеспечению безопасности секретов
• Обеспечьте безопасность сертификатов Azure Key Vault — рекомендации по обеспечению безопасности сертификатов

Дальнейшие шаги

• О ключах службы Azure Key Vault
• Настройка автоматической ротации криптографического ключа в Azure Key Vault
• руководство разработчика Azure Key Vault