Návrh řešení pro správu tajných klíčů, klíčů a certifikátů
V Azure můžou být šifrovací klíče spravované platformou nebo spravované zákazníkem.
Klíče spravované platformou (PMK) jsou šifrovací klíče, které se generují, ukládají a spravují výhradně v Azure. Zákazníci nepracují se sadami PMK. Klíče používané například pro službu Azure Data Encryption-at-Rest jsou ve výchozím nastavení sady PMK.
Klíče spravované zákazníkem (CMK) jsou na druhou stranu ty, které můžou číst, vytvářet, odstraňovat, aktualizovat nebo spravovat jeden nebo více zákazníků. Klíče uložené v trezoru klíčů vlastněných zákazníkem nebo modulu hardwarového zabezpečení (HSM) jsou klíče CMK. Přineste si vlastní klíč (BYOK) je scénář CMK, ve kterém zákazník importuje klíče z externího umístění úložiště do služby správy klíčů Azure (viz Azure Key Vault: Specifikace přineste si vlastní klíč).
Konkrétním typem klíče spravovaného zákazníkem je "šifrovací klíč klíče" (KEK). Klíč KEK je primární klíč, který řídí přístup k jednomu nebo více šifrovacím klíčům, které jsou zašifrované.
Klíče spravované zákazníkem se dají ukládat místně nebo častěji ve službě pro správu cloudových klíčů.
Služby správy klíčů Azure
Azure nabízí několik možností pro ukládání a správu klíčů v cloudu, včetně Služby Azure Key Vault, Azure Managed HSM, Dedicated HSM a Platby HSM. Tyto možnosti se liší z hlediska úrovně dodržování předpisů FIPS, režie správy a zamýšlených aplikací.
Azure Key Vault (úroveň Standard):< A FIPS 140-2 Level 1 ověřil službu správy cloudových klíčů s více tenanty, která se dá použít také k ukládání tajných kódů a certifikátů. Klíče uložené ve službě Azure Key Vault jsou chráněné softwarem a dají se použít pro neaktivní uložené šifrování a vlastní aplikace. Key Vault poskytuje moderní rozhraní API a nejširší oblastní nasazení a integraci se službami Azure. Další informace najdete v tématu o službě Azure Key Vault.
Azure Key Vault (úroveň Premium):< A FIPS 140-2 Level 2 ověřená nabídka HSM s více tenanty, která se dá použít k ukládání klíčů v zabezpečené hardwarové hranici. Microsoft spravuje a provozuje základní HSM a klíče uložené ve službě Azure Key Vault Premium je možné použít pro šifrování neaktivních uložených a vlastních aplikací. Key Vault Premium také poskytuje moderní rozhraní API a nejširší oblastní nasazení a integrace se službami Azure. Další informace najdete v tématu o službě Azure Key Vault.
Spravovaný HSM Azure: A FIPS 140-2 Level 3 ověřená nabídka HSM s jedním tenantem, která zákazníkům poskytuje úplnou kontrolu nad modulem HSM pro šifrování neaktivních uložených dat, bez klíčů SSL a vlastní aplikace. Zákazníci obdrží fond tří oddílů HSM – společně fungují jako jedno logické zařízení HSM s vysokou dostupností, které služba zpřístupňuje kryptografické funkce prostřednictvím rozhraní API služby Key Vault. Microsoft zpracovává zřizování, opravy, údržbu a převzetí služeb při selhání hardwaru modulů hardwarového zabezpečení, ale nemá přístup k samotným klíčům, protože služba se provádí v rámci důvěrné výpočetní infrastruktury Azure. Spravovaný HSM je integrovaný se službami Azure SQL, Azure Storage a PaaS služby Azure Information Protection a nabízí podporu pro protokol TLS bez klíčů s F5 a Nginx. Další informace najdete v tématu Co je spravovaný HSM služby Azure Key Vault?
Azure Dedicated HSM: FiPS 140-2 Level 3 ověřená nabídka HOLÉHO HSM, která zákazníkům umožňuje zapůjčení zařízení HSM pro obecné účely, které se nachází v datacentrech Microsoftu. Zákazník má úplné a celkové vlastnictví zařízení HSM a v případě potřeby zodpovídá za opravy a aktualizaci firmwaru. Microsoft nemá na zařízení žádná oprávnění ani přístup ke klíčovým materiálům a vyhrazený HSM není integrovaný s žádnými nabídkami Azure PaaS. Zákazníci můžou s modulem hardwarového zabezpečení komunikovat pomocí rozhraní PKCS#11, JCE/JCA a KSP/CNG API. Tato nabídka je nejužitečnější pro starší úlohy typu lift and shift, PKI, přesměrování zpracování SSL a bez klíčů (mezi podporované integrace patří F5, Nginx, Apache, Palo Alto, IBM GW a další), aplikace OpenSSL, TDE Oracle a Azure SQL TDE IaaS. Další informace najdete v tématu Co je spravovaný HSM služby Azure Key Vault?
Azure Platby HSM: FiPS 140–2 Level 3, PCI HSM v3, ověřená nabídka holých počítačů, která zákazníkům umožňuje zapůjčení zařízení HSM plateb v datacentrech Microsoftu pro operace plateb, včetně zpracování plateb, vydávání platebních přihlašovacích údajů, zabezpečení klíčů a ověřovacích dat a ochrany citlivých dat. Služba je kompatibilní se standardem PCI DSS a PCI 3DS. Modul hardwarového zabezpečení (HSM) Pro zákazníky nabízí moduly HSM s jedním tenantem, aby měli úplnou kontrolu správy a výhradní přístup k HSM. Jakmile je HSM přidělen zákazníkovi, Microsoft nemá přístup k zákaznickým datům. Podobně platí, že pokud už modul hardwarového zabezpečení není potřeba, zákaznická data se vynuluje a vymažou, jakmile se hsM uvolní, aby se zajistila úplná ochrana osobních údajů a zabezpečení. Další informace najdete v tématu o hsm platby Azure.
Přehled typů tajných kódů, klíčů a certifikátů, se kterými můžete pracovat v trezoru klíčů, najdete v tématu Přehled klíčů, tajných kódů a certifikátů služby Azure Key Vault.
Osvědčené postupy pro používání služby Key Vault
Použití samostatných trezorů klíčů
Naším doporučením je použít trezor pro každou aplikaci na prostředí (vývoj, předprodukční a produkční) v jednotlivých oblastech. To vám pomůže nesdílet tajné kódy mezi prostředími a oblastmi. Zároveň sníží hrozbu v případě porušení zabezpečení.
Proč doporučujeme oddělit trezory klíčů
Trezory klíčů definují hranice zabezpečení pro uložené tajné kódy. Seskupení tajných kódů do stejného trezoru zvyšuje poloměr výbuchu události zabezpečení, protože útoky můžou mít přístup k tajným kódům napříč obavami. Pokud chcete zmírnit přístup napříč obavami, zvažte, k jakým tajným kódům by měla mít konkrétní aplikace přístup, a pak na základě tohoto vymezení oddělte trezory klíčů. Nejběžnější hranicí je oddělení trezorů klíčů podle aplikace. Hranice zabezpečení ale můžou být podrobnější pro velké aplikace, například pro každou skupinu souvisejících služeb.
Řízení přístupu k trezoru
Šifrovací klíče a tajné kódy, jako jsou certifikáty, připojovací řetězec a hesla, jsou citlivé a důležité pro firmu. Potřebujete zabezpečit přístup k trezorům klíčů tím, že povolíte jenom autorizované aplikace a uživatele. Funkce zabezpečení služby Azure Key Vault poskytují přehled modelu přístupu ke službě Key Vault. Vysvětluje ověřování a autorizaci. Popisuje také, jak zabezpečit přístup k trezorům klíčů.
Návrhy pro řízení přístupu k trezoru jsou následující:
- Uzamkněte přístup k vašemu předplatnému, skupině prostředků a trezorům klíčů (řízení přístupu na základě role (RBAC)).
- Vytvořte zásady přístupu pro každý trezor.
- K udělení přístupu použijte princip přístupu s nejnižšími oprávněními.
- Zapněte koncové body služby brány firewall a virtuální sítě.
Zapnutí ochrany dat pro trezor
Zapněte ochranu před vymazáním, která chrání před škodlivým nebo náhodným odstraněním tajných kódů a trezoru klíčů i po zapnutí obnovitelného odstranění.
Další informace najdete v přehledu obnovitelného odstranění ve službě Azure Key Vault.
Zapněte protokolování.
Zapněte protokolování trezoru. Nastavte také upozornění.
Záloha
Ochrana před vymazáním zabraňuje škodlivému a náhodnému odstranění objektů trezoru po dobu až 90 dnů. V situacích, kdy ochrana před vymazáním není možná, doporučujeme objekty trezoru záloh, které není možné znovu vytvořit z jiných zdrojů, jako jsou šifrovací klíče vygenerované v rámci trezoru.
Další informace o zálohování najdete v tématu Zálohování a obnovení služby Azure Key Vault.
Víceklientová řešení a Key Vault
Víceklientové řešení je postavené na architektuře, ve které se komponenty používají k poskytování více zákazníků nebo tenantů. Víceklientské řešení se často používají k podpoře řešení saaS (software jako služba). Pokud vytváříte víceklientské řešení, které zahrnuje Službu Key Vault, projděte si víceklientské prostředí a Azure Key Vault.