Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управляемый модуль HSM Azure — это полностью управляемая, высокодоступная, однотенантная служба аппаратного модуля безопасности (HSM), которая обеспечивает защиту криптографических ключей fiPS 140-3 уровня 3 для облачных приложений. Так как управляемый модуль HSM защищает наиболее конфиденциальные криптографические ключи и секреты, реализация комплексных средств управления безопасностью необходима для защиты от угроз и обеспечения непрерывности бизнес-процессов.
Рекомендации по безопасности в этой статье реализуют принципы нулевого доверия: "Проверить явно", "Использовать минимальный доступ к привилегиям" и "Предположить нарушение". Подробные рекомендации по нулю доверия см. в центре рекомендаций по нулю доверия.
В этой статье приведены рекомендации по обеспечению безопасности, помогающие защитить развертывание управляемого устройства HSM Azure.
Безопасность сети
Безопасность сети защищает управляемый HSM с помощью безопасного подключения и управления доступом к сети. Эти функции безопасности сети перечислены от наиболее ограниченных к наименее ограниченным возможностям. Выберите конфигурацию, которая лучше всего подходит для варианта использования вашей организации. Подробные сведения обо всех конфигурациях безопасности сети см. в статье " Безопасность сети" для управляемого HSM в Azure Key Vault.
Отключите доступ к общедоступной сети и используйте только частные конечные точки: разверните Приватный канал Azure, чтобы установить частное безопасное подключение к управляемому экземпляру HSM, создав частную конечную точку в виртуальной сети. Отключение доступа к общедоступной сети запрещает доступ к общедоступным IP-адресам, настроив управляемый модуль HSM, чтобы запретить доступ к общедоступной сети. Это предотвращает доступ к общедоступному Интернету и направляет весь трафик по магистральной сети Майкрософт. См. Интеграцию управляемого HSM с Приватной ссылкой Azure.
Настройте брандмауэр управляемого устройства HSM с доверенными службами: настройте правила брандмауэра управляемого устройства HSM, чтобы запретить общедоступный доступ к Интернету, позволяя определенным доверенным службам
--bypass AzureServicesAzure через параметр, если это необходимо для вашего сценария. Это ограничивает область атаки при сохранении необходимых интеграции служб. Полные сведения см. в разделе "Безопасность сети: брандмауэр HSM в Azure" (только доверенные службы).Включение брандмауэра IP-сети (предварительная версия): ограничение доступа к общедоступным статическим IP-адресам, если для сетевых сценариев требуется управляемый общедоступный доступ. Полные сведения см. в разделе "Управляемая сетевая безопасность HSM Azure Key Vault: параметры брандмауэра".
Пошаговые инструкции по настройке см. в статье "Настройка параметров сети управляемого устройства HSM Azure".
Управление удостоверениями и доступом
Управление удостоверениями и доступом защищает проверку подлинности и авторизацию для ресурсов управляемого модуля аппаратной безопасности (HSM). Управляемый модуль HSM использует модель доступа с двумя уровнями, с различными системами авторизации для операций контрольного и информационного уровней.
Реализуйте локальный RBAC управляемого HSM для доступа к плоскости данных: используйте локальный RBAC управляемого HSM для контроля доступа к ключам и криптографическим операциям в HSM. Эта система авторизации работает независимо от Azure RBAC и предоставляет подробные разрешения для ключевых операций, назначений ролей и управления доменами безопасности. См. контроль доступа для управляемого HSM.
Включение управляемых удостоверений для доступа к приложениям: настройка назначаемых системой или назначаемых пользователем управляемых удостоверений для приложений для проверки подлинности в управляемом HSM без хранения учетных данных в файлах кода или конфигурации. Управляемые удостоверения интегрируются с идентификатором Microsoft Entra ID и автоматически обрабатывают смену учетных данных. См. контроль доступа для управляемого HSM.
Примените доступ с минимальными привилегиями с соответствующими областями: предоставьте разрешения на наиболее строгий уровень доступа — на уровне HSM (
/или/keys) для общего доступа или на уровне ключа (/keys/<key-name>) для конкретного доступа к ключу. Используйте встроенные роли, такие как управляемый сотрудник по шифрованию HSM, управляемый пользователь шифрования HSM или управляемый аудитор шифрования HSM на основе необходимых операций. См. контроль доступа для управляемого HSM.Назначьте роль администратора HSM группам безопасности Microsoft Entra вместо отдельных пользователей, чтобы предотвратить их случайную блокировку при удалении учетных записей пользователей. Этот подход упрощает управление разрешениями и обеспечивает непрерывность административного доступа во время процесса подготовки HSM. См. контроль доступа для управляемого HSM.
Включите управление привилегированными удостоверениями для административных ролей: используйте Microsoft Entra Privileged Identity Management (PIM) для обеспечения доступа по требованию для ролей с высоким уровнем привилегий, таких как администратор управляемого HSM. PIM снижает риск долговременных административных привилегий и предоставляет процедуры утверждения для повышения уровня доступа. См. контроль доступа для управляемого HSM.
Отдельный доступ к плоскости управления и уровню данных: Важно понимать, что доступ к плоскости управления (Azure RBAC) для управления ресурсами HSM не предоставляет доступ к ключам уровня данных. Явно назначьте роли плоскости данных через управляемый локальный RBAC HSM пользователям, которым необходимо выполнять ключевые операции. См. контроль доступа для управляемого HSM.
Защита данных
Защита данных защищает криптографические ключи и конфиденциальные данные, хранящиеся в управляемом HSM, с помощью шифрования, политик управления ключами и безопасных методов хранения. Правильная защита данных гарантирует, что основные материалы остаются конфиденциальными и защищенными от вмешательства.
Реализуйте многочленную систему управления для домена безопасности: настройте кворум домена безопасности с несколькими парами ключей RSA (рекомендуется как минимум 3), чтобы предотвратить восстановление HSM в условиях единоличного контроля. Укажите порог кворума, требующее совместной работы нескольких владельцев ключей для расшифровки домена безопасности, гарантируя, что ни один человек не может компрометировать HSM. Ознакомьтесь с общими сведениями о домене безопасности.
Храните ключи домена безопасности в автономном режиме в безопасных местах: сохраняйте закрытые ключи домена безопасности на зашифрованных, автономных устройствах хранения, таких как зашифрованные USB-диски, расположенные в отдельных географических местах в физических сейфах или запирающихся ящиках. Никогда не храните ключи домена безопасности на компьютерах, подключенных к интернету, чтобы уменьшить риск киберугроз и обеспечить безопасность без подключения к сети. Ознакомьтесь с общими сведениями о домене безопасности.
Установите процедуры управления ключами домена безопасности: реализуйте политики периодического проверки хранения ключей домена безопасности при изменении персонала или при компрометации ключей. Фиксируйте обязанности владельца домена безопасности, ведите точный учет местоположений ключей и их хранения и убедитесь, что кворум можно собрать в чрезвычайной ситуации для восстановления. Ознакомьтесь с общими сведениями о домене безопасности.
Включите защиту очистки для HSM и ключей: настройте защиту очистки, чтобы предотвратить постоянное удаление HSM или отдельных ключей до истечения срока хранения. Этот элемент управления защищает от случайного или вредоносного удаления и предоставляет окно восстановления для критически важных операций. См. общие сведения о мягком удалении.
Настройте соответствующие периоды хранения данных для мягкого удаления: Установите периоды хранения данных для мягкого удаления в диапазоне от 7 до 90 дней в зависимости от требований восстановления и соответствия требованиям. Более длительные сроки хранения обеспечивают больше времени восстановления, но могут конфликтовировать с требованиями к месту размещения данных. См. общие сведения о мягком удалении.
Ведение журналов и мониторинг
Ведение журнала и мониторинг обеспечивают видимость шаблонов и операций доступа HSM, что позволяет создавать отчеты об обнаружении угроз и соответствия требованиям. Комплексное ведение журнала помогает выявлять подозрительные действия и поддерживать судебно-медицинские расследования.
Включите ведение журнала аудита с параметрами диагностики: настройте параметры диагностики для записи всех запросов REST API, ключевых операций и действий домена безопасности в таблице AzureDiagnostics. Маршрутизируйте журналы в аккаунты хранения Azure, рабочие области Log Analytics или централизаторы событий в зависимости от ваших требований к хранению и анализу. См. ведение журнала управляемого модуля HSM.
Анализ журналов с помощью Azure Monitor и Log Analytics: используйте Azure Monitor для сбора и анализа журналов HSM с помощью запросов KQL, которые фильтруют по ResourceProvider "MICROSOFT". KEYVAULT и ResourceType "MANAGEDHSMS". Создайте пользовательские информационные панели и рабочие тетради для команд по обеспечению безопасности для мониторинга шаблонов доступа и использования ключей. См. раздел "Мониторинг управляемого устройства HSM Azure".
Настройте оповещения для критических событий безопасности: создайте правила оповещений Azure Monitor для событий, таких как доступность HSM падает ниже 100%, задержка API службы превышает пороговые значения, необычные шаблоны кодов ошибок или неудачные попытки проверки подлинности. Настройте статические и динамические пороговые оповещения, чтобы уменьшить количество ложных срабатываний при сохранении видимости безопасности. См. статью "Настройка оповещений управляемого устройства HSM".
Интеграция с Microsoft Sentinel для расширенного обнаружения угроз: развертывание Microsoft Sentinel для автоматического обнаружения подозрительных действий с помощью аналитики машинного обучения и пользовательских правил обнаружения, относящихся к управляемым операциям HSM. Создайте правила аналитики для конфиденциальных операций, таких как скачивание домена безопасности, операции массового ключа или аномальные шаблоны доступа. См. статью "Настройка Microsoft Sentinel для управляемого устройства HSM Azure".
Реализуйте правильные политики хранения журналов: установите периоды хранения журналов, соответствующие требованиям соответствия требованиям и поддерживающие судебно-медицинские расследования. Используйте политики хранения Log Analytics в Azure Monitor для управления затратами на хранение при сохранении достаточных возможностей для расследования инцидентов безопасности. См. раздел "Мониторинг управляемого устройства HSM Azure".
Соответствие требованиям и управление
Контроль соответствия требованиям и управлению гарантирует, что развертывание управляемого устройства HSM соответствует нормативным требованиям и политикам организации с помощью автоматического контроля применения политик и контроля соответствия требованиям.
Реализуйте политику Azure для управления ключами: предоставьте роль "Управляемый аудитор шифрования HSM" службе управления ключами Azure (идентификатор приложения: a1b76039-a76c-499f-a2dd-846b4cc32627) для проверки соответствия политик Azure, затем определите правила политики для аудита или принудительного применения конфигураций безопасных ключей, включая требования к истечению срока действия ключа, минимальные размеры ключей RSA и ограничения алгоритма многоточия кривых. Без этого назначения ролей политика Azure не может оценить полный список ключей. См. интеграцию управляемого HSM Azure с политикой Azure.
Настройте жизненный цикл ключей и криптографические стандарты: используйте встроенные определения политики Azure для применения дат окончания срока действия ключей, настроите минимальные размеры ключей RSA для обеспечения соответствия требованиям безопасности, ограничьте криптографию с многоточием кривой до утвержденных имен кривых (P-256, P-256K, P-384, P-521) и убедитесь, что ключи имеют достаточно времени до истечения срока действия процедур поворота. См. интеграцию управляемого HSM Azure с политикой Azure.
Отслеживайте соответствие с помощью панелей мониторинга политики Azure: используйте панели мониторинга соответствия политик Azure для отслеживания соблюдения стандартов безопасности шифрования и определения несовместимых ключей, требующих исправления. Настройте эффекты политики аудита и запрета, чтобы обеспечить видимость и применение базовых показателей безопасности. См. интеграцию управляемого HSM Azure с политикой Azure.
Резервное копирование и восстановление
Резервное копирование и восстановление защищает от потери данных и обеспечивает непрерывность бизнес-процессов с помощью соответствующих стратегий резервного копирования, процедур аварийного восстановления и тестирования восстановления, чтобы обеспечить доступность криптографических ключей.
Создайте регулярные полные резервные копии HSM: запланируйте автоматические резервные копии HSM, которые включают все ключи, версии, атрибуты, теги и назначения ролей, чтобы предотвратить потерю данных от сбоев оборудования или операционных инцидентов. Используйте назначаемые пользователем управляемые удостоверения для операций резервного копирования, чтобы обеспечить безопасный доступ к учетным записям хранения без управления учетными данными. См. полное резервное копирование и восстановление.
Реализуйте отдельные резервные копии на уровне ключей для критических ключей: создайте выборочные резервные копии ключей с высоким значением с помощью
az keyvault key backupкоманды, чтобы включить детализированное восстановление без полных операций восстановления HSM. Резервные копии ключей шифруются и криптографически привязаны к домену безопасности, что означает, что они могут быть восстановлены только в том же домене безопасности, что и HSM. См. полное резервное копирование и восстановление.Подготовьте комплексные процедуры аварийного восстановления. Разработка и тестирование планов аварийного восстановления, включающих восстановление домена безопасности с помощью пар ключей RSA, процедур восстановления резервных копий и шагов по перенастройки приложений. Обеспечение безопасного автономного доступа к файлам домена безопасности, закрытым ключам (минимальному кворуму) и недавним резервным копиям, хранящимся в географически отдельных расположениях. См. руководство по аварийному восстановлению.
Регулярно тестируйте процедуры резервного копирования и восстановления: проводите периодическое аварийное восстановление с помощью экземпляров HSM, отличных от рабочей среды HSM, для проверки восстановления домена безопасности, восстановления резервного копирования и полного рабочего процесса аварийного восстановления. Тестирование гарантирует, что владельцы кворума домена безопасности могут успешно выполнять операции восстановления и проверять целостность резервного копирования. См. руководство по аварийному восстановлению.
Безопасное хранилище резервных копий с соответствующими элементами управления доступом: хранение резервных копий HSM в учетных записях хранения Azure, настроенных с соответствующими разрешениями RBAC, частными конечными точками и ключами шифрования, управляемыми клиентом. Настройте управляемое удостоверение, назначаемое пользователем, с ролью "участник данных хранилища BLOB" и реализуйте политики хранения резервных копий, балансирующие требования к восстановлению с затратами на хранение. См. полное резервное копирование и восстановление.
Безопасность для конкретной службы
Безопасность, специфичная для отдельных служб, охватывает уникальные характеристики управляемого HSM, включая обеспечение защиты на уровне оборудования, соответствие стандартам FIPS и специализированные криптографические операции, которые отличают его от других служб Azure.
Воспользуйтесь преимуществами аппаратной проверки FIPS 140-3 уровня 3: Используйте управляемые HSM, сертифицированные по стандарту FIPS 140-3 уровня 3, которые обеспечивают криптографическую обработку с высоким уровнем энтропии и аппаратной изоляцией ключей. Это обеспечивает самый высокий уровень защиты ключей, доступный в Azure. См. раздел "Что такое управляемый HSM Azure?". Реализуйте использование собственного ключа (BYOK) для соответствия нормативным требованиям: используйте BYOK для импорта ключей, защищенных HSM, из локальных HSM, когда нормативные требования предписывают специфические процедуры создания ключей. BYOK гарантирует, что ключи никогда не существуют вне границ HSM в виде открытого текста во время процесса передачи. См. раздел "Что такое управляемый HSM Azure?".
Используйте изоляцию одного арендатора для конфиденциальных рабочих нагрузок: воспользуйтесь одноарендаторной архитектурой управляемого HSM, где каждый экземпляр HSM предоставляется одному клиенту и криптографически изолирован с помощью клиентских доменов безопасности. Это обеспечивает более высокую изоляцию, чем решения многотенантного хранилища ключей. См. раздел "Что такое управляемый HSM Azure?". Реализуйте надлежащие процедуры аттестации ключей: используйте возможности аттестации ключей, чтобы доказать, что ключи были созданы и обработаны в границах оборудования FIPS 140-3 уровня 3. Аттестация ключей обеспечивает криптографическое подтверждение подтверждения подлинности ключей для сценариев высокой надежности. См. подтверждение подлинности ключа.
Настройте репликацию между регионами для обеспечения непрерывности бизнес-процессов: включите репликацию с несколькими регионами, чтобы расширить управляемый модуль HSM из основного региона в расширенный регион, предоставляя активное развертывание с автоматической репликацией. Оба региона могут обслуживать запросы, и Менеджер трафика направляет их в ближайший доступный регион, увеличивая соглашение об уровне обслуживания до совокупных 99,99%. См. Мульти-региональная репликация.