Standardní hodnoty zabezpečení Azure pro Key Vault
Tento standardní plán zabezpečení používá na Key Vault doprovodné materiály z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle ovládacích prvků zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejících pokynů týkajících se Key Vault.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí Microsoft Defender pro cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů a doporučení srovnávacích testů zabezpečení cloudu od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce, které se nevztahují na Key Vault, byly vyloučeny. Pokud chcete zjistit, jak Key Vault zcela mapovat na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Key Vault.
Profil zabezpečení
Profil zabezpečení shrnuje chování Key Vault s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | Zabezpečení |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Zakázaný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ano |
| Ukládá obsah zákazníka v klidovém stavu. | Ano |
Zabezpečení sítě
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní Virtual Network zákazníka (VNet). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Azure Key Vault podporuje koncové body služby virtuální sítě, které umožňují omezit přístup trezoru klíčů k zadané virtuální síti.
Referenční informace: Zabezpečení sítě Azure Key Vault
Podpora skupiny zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí skupin zabezpečení sítě (NSG) můžete omezit nebo monitorovat provoz podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla NSG, která omezí otevřené porty vaší služby (například zabrání přístupu k portům pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a Azure Load Balancerů.
NS-2: Zabezpečení cloudových služeb pomocí ovládacích prvků sítě
Funkce
Azure Private Link
Popis: Funkce nativního filtrování IP adres služby pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Nasazení privátních koncových bodů pro Azure Key Vault k vytvoření privátního přístupového bodu pro prostředky.
Referenční informace: Azure Key Vault Private Link
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby (nikoli NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Zakažte veřejný síťový přístup pomocí pravidel filtrování IP adres brány firewall azure Key Vault.
Referenční informace: Zabezpečení sítě Azure Key Vault
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.KeyVault:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres a omezit tak přístup k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
Správa identit
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa identit.
IM-1: Použití centralizované identity a ověřovacího systému
Funkce
Azure AD ověřování vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Ověřování azure Key Vault
Metody místního ověřování pro přístup k rovině dat
Popis: Metody místního ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pokud je to možné, použijte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, obměňované a chráněné platformou, takže se vyhnete pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Referenční informace: Ověřování azure Key Vault
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Další pokyny: Místo instančních objektů se doporučuje používat spravované identity. Pokud je potřeba použít instanční objekty, omezte využití na případy, kdy se vyžaduje přístup, který není založený na uživateli a spravované identity se nepodporují, jako jsou toky automatizace nebo integrace systémů třetích stran.
Referenční informace: Ověřování azure Key Vault
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
Referenční informace: Podmíněný přístup Azure Key Vault
IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů
Funkce
Podpora integrace a úložiště přihlašovacích údajů a tajných kódů služby v Azure Key Vault
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Zajistěte, aby tajné kódy a přihlašovací údaje byly uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne vkládejte je do kódu nebo konfiguračních souborů.
Referenční informace: O tajných kódech Azure Key Vault
Privilegovaný přístup
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Privilegovaný přístup.
PA-1: Oddělte a omezte vysoce privilegované uživatele nebo uživatele s oprávněními pro správu.
Funkce
Místní účty Správa
Popis: Služba má koncept místního účtu pro správu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Řízení přístupu na základě role v Azure (Azure RBAC) slouží ke správě přístupu k prostředkům Azure prostřednictvím předdefinovaných přiřazení rolí. Role Azure RBAC je možné přiřadit uživatelům, skupinám, instančním objektům a spravovaným identitám.
Referenční informace: Podpora RBAC v Azure Key Vault
Ochrana dat
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Ochrana dat.
DP-3: Šifrování přenášených citlivých dat
Funkce
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Další pokyny: Nevyžadují se žádné další konfigurace, protože je spravuje platforma Azure.
Referenční informace: Funkce zabezpečení Azure Key Vault
DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.
Funkce
Šifrování dat v klidovém stavu pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno. Veškerý uložený obsah zákazníka se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Azure Key Vault zabezpečené úložiště tajných kódů a klíčů
DP-5: Použití možnosti klíče spravovaného zákazníkem při šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování dat v klidovém stavu pomocí CMK
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Azure Key Vault je místo, kde ukládáte klíče pro šifrování klíčů spravovaných zákazníkem (CMK). Pro řešení CMK máte možnost použít klíče chráněné softwarem nebo klíče chráněné modulem hardwarového zabezpečení HSM.
Poznámka: Podrobnosti o klíči spravovaném zákazníkem a HSM najdete tady: https://techcommunity.microsoft.com/t5/azure-confidential-computing/azure-key-vault-managed-hsm-control-your-data-in-the-cloud/ba-p/3359310
Referenční informace: Azure Key Vault zabezpečené úložiště tajných kódů a klíčů
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů v Azure Key Vault
Popis: Služba podporuje integraci azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pokud chcete bezpečně spravovat životní cyklus klíčů v trezoru klíčů, postupujte podle osvědčených postupů azure Key Vault. To zahrnuje generování, distribuci, ukládání, obměnu a odvolání klíče.
Referenční informace: Správa klíčů Azure Key Vault
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.KeyVault:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Key Vault klíče by měly mít datum vypršení platnosti. | Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času na ohrožení klíče. Doporučeným postupem zabezpečení je nastavit data vypršení platnosti kryptografických klíčů. | Audit, Odepřít, Zakázáno | 1.0.2 |
DP-7: Použití zabezpečeného procesu správy certifikátů
Funkce
Správa certifikátů v Azure Key Vault
Popis: Služba podporuje integraci azure Key Vault pro všechny zákaznické certifikáty. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Postupujte podle osvědčených postupů Azure Key Vault a bezpečně spravujte životní cyklus certifikátů v trezoru klíčů. To zahrnuje vytvoření/import klíče, obměnu, odvolání, uložení a vymazání certifikátu.
Referenční informace: Správa certifikátů Azure Key Vault
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.KeyVault:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Certifikáty by měly mít zadanou maximální dobu platnosti. | Požadavky organizace na dodržování předpisů můžete spravovat tak, že určíte maximální dobu, po kterou může být certifikát platný ve vašem trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.2.1 |
Správa aktiv
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa prostředků.
AM-2: Používejte jenom schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Ke konfiguraci Azure Policy pro audit a vynucení konfigurací Key Vault Azure použijte Microsoft Defender pro cloud. Azure Monitor slouží k vytváření upozornění, když se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [odepřít] a [nasadit, pokud neexistuje].
Referenční informace: Zásady azure Key Vault
Protokolování a detekce hrozeb
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Protokolování a detekce hrozeb.
LT-1: Povolení možností detekce hrozeb
Funkce
Microsoft Defender pro službu / nabídku produktů
Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Povolte Microsoft Defender pro Key Vault, když dostanete upozornění od Microsoft Defender pro Key Vault, prošetřete výstrahu a odpovíte na ni.
Referenční informace: Microsoft Defender pro Azure Key Vault
LT-4: Povolení protokolování pro šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Povolte pro trezor klíčů protokoly prostředků. Protokoly prostředků pro Azure Key Vault můžou protokolovat aktivity operací klíče, jako je vytváření, načítání a odstraňování klíčů.
Referenční informace: Protokolování azure Key Vault
Backup a obnovení
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelného automatizovaného zálohování
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Funkce nativního zálohování služby
Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Další pokyny: Pomocí funkce nativního zálohování Azure Key Vault zálohujte tajné kódy, klíče a certifikáty a zajistěte, aby služba byla obnovitelná pomocí zálohovaných dat.
Referenční informace: Zálohování azure Key Vault
Další kroky
- Podívejte se na přehled srovnávacích testů zabezpečení cloudu Microsoftu.
- Další informace o základních úrovních zabezpečení Azure