Osvědčené postupy pro zabezpečení spravovaného HSM

Tento článek obsahuje osvědčené postupy pro zabezpečení systému správy klíčů SPRAVOVANÉHO HSM ve službě Azure Key Vault. Úplný seznam doporučení zabezpečení najdete ve standardních hodnotách zabezpečení spravovaného HSM Azure.

Řízení přístupu ke spravovanému HSM

Spravovaný HSM je cloudová služba, která chrání kryptografické klíče. Vzhledem k tomu, že tyto klíče jsou citlivé a důležité pro vaši firmu, zajistěte zabezpečení spravovaných hsM tím, že povolíte přístup pouze autorizovanými aplikacemi a uživateli. Řízení přístupu spravovaného HSM poskytuje přehled modelu přístupu. Vysvětluje ověřování, autorizaci a řízení přístupu na základě role (RBAC).

Řízení přístupu ke spravovanému HSM:

• Vytvořte skupinu zabezpečení Microsoft Entra pro správce HSM (místo přiřazení role Správce jednotlivcům), abyste zabránili "uzamčení správy", pokud se odstraní jednotlivý účet.
• Zamkněte přístup ke skupinám pro správu, předplatným, skupinám prostředků a spravovaným hsM. Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete řídit přístup ke skupinám pro správu, předplatným a skupinám prostředků.
• Vytvořte přiřazení rolí podle klíče pomocí místního řízení přístupu na základě role spravovaného HSM.
• Pokud chcete zachovat oddělení povinností, vyhněte se přiřazování více rolí stejným objektům zabezpečení.
• K přiřazení rolí použijte princip přístupu s nejnižšími oprávněními.
• Vytvořte vlastní definici role pomocí přesné sady oprávnění.

Vytváření záloh

• Ujistěte se, že vytváříte pravidelné zálohy spravovaného HSM.

  Zálohy můžete vytvářet na úrovni HSM a pro konkrétní klíče.

Zapněte protokolování.

• Zapněte protokolování pro hsm.

  Můžete také nastavit upozornění.

Zapněte možnosti obnovení.

• Obnovitelné odstranění je ve výchozím nastavení zapnuté. Můžete zvolit dobu uchovávání mezi 7 a 90 dny.

• Zapněte ochranu před vymazáním, abyste zabránili okamžitému trvalému odstranění HSM nebo klíčů.

  Když je ochrana před vymazáním zapnutá, spravovaný HSM nebo klíče zůstanou ve stavu odstranění, dokud neskončí doba uchovávání.

Další kroky

• Standardní hodnoty zabezpečení spravovaného HSM
• Úplné zálohování a obnovení
• Protokolování spravovaných HSM
• Správa spravovaných klíčů HSM
• Správa spravovaných rolí HSM
• Přehled obnovitelného odstranění spravovaného HSM