Progettare una soluzione per gestire segreti, chiavi e certificati
In Azure le chiavi di crittografia possono essere gestite dalla piattaforma o dal cliente.
Le chiavi gestite dalla piattaforma sono chiavi di crittografia generate, archiviate e gestite interamente da Azure. I clienti non interagiscono con le chiavi gestite dalla piattaforma. Le chiavi usate per Azure Data Encryption-at-Rest, ad esempio, sono chiavi gestite dalla piattaforma per impostazione predefinita.
Le chiavi gestite dal cliente, invece, sono quelle che possono essere lette, create, eliminate, aggiornate e/o gestite da uno o più clienti. Le chiavi archiviate in un modulo di protezione hardware o un insieme di credenziali delle chiavi di proprietà del cliente sono chiavi gestite dal cliente. Bring Your Own Key (BYOK) è uno scenario di chiavi gestite dal cliente in cui un cliente importa le chiavi da un percorso di archiviazione esterno in un servizio di gestione delle chiavi di Azure (vedere Azure Key Vault: specifiche di Bring Your Own Key).
Un tipo specifico di chiave gestita dal cliente è la "chiave di crittografia della chiave" (KEK). Una KEK è una chiave primaria che controlla l'accesso a una o più chiavi di crittografia crittografate.
Le chiavi gestite dal cliente possono essere archiviate in locale o, più comunemente, in un servizio di gestione delle chiavi cloud.
Servizi di gestione delle chiavi di Azure
Azure offre diverse opzioni per archiviare e gestire le chiavi nel cloud, tra cui Azure Key Vault, modulo di protezione hardware gestito di Azure, HSM dedicato e HSM di pagamento. Queste opzioni differiscono in termini di livello di conformità FIPS, sovraccarico di gestione e applicazioni di destinazione.
Azure Key Vault (livello standard): un servizio di gestione delle chiavi cloud multi-tenant convalidato FIPS 140-2 di livello 1 che può essere usato anche per archiviare segreti e certificati. Le chiavi archiviate in Azure Key Vault sono protette dal software e possono essere usate per le applicazioni personalizzate e di crittografia per dati inattivi. Key Vault offre un'API moderna e la più ampia gamma di distribuzioni e integrazioni a livello di area con i servizi di Azure. Per altre informazioni, vedere Informazioni su Azure Key Vault.
Azure Key Vault (livello premium): un'offerta di modulo di protezione hardware multi-tenant convalidata FIPS 140-2 di livello 2 che può essere usata per archiviare le chiavi in un limite hardware sicuro. Microsoft gestisce il modulo di protezione hardware sottostante e le chiavi archiviate in Azure Key Vault Premium possono essere usate per le applicazioni personalizzate e di crittografia per dati inattivi. Key Vault Premium offre anche un'API moderna e la più ampia gamma di distribuzioni e integrazioni a livello di area con i servizi di Azure. Per altre informazioni, vedere Informazioni su Azure Key Vault.
Modulo di protezione hardware gestito di Azure: un'offerta di modulo di protezione hardware a tenant singolo convalidata FIPS 140-2 di livello 3 che offre ai clienti il controllo completo di un modulo di protezione hardware per le applicazioni personalizzate, SSL senza chiave e di crittografia per dati inattivi. I clienti ricevono un pool di tre partizioni del modulo di protezione hardware, che agiscono insieme come un'appliance del modulo di protezione hardware logico, a disponibilità elevata rispetto a un servizio che espone la funzionalità di crittografia tramite l'API Key Vault. Microsoft gestisce il provisioning, l'applicazione di patch, la manutenzione e il failover hardware dei moduli di protezione hardware, ma non ha accesso alle chiavi stesse, perché il servizio viene eseguito all'interno dell'infrastruttura di calcolo riservata di Azure. Il modulo di protezione hardware gestito è integrato con i servizi PaaS Azure SQL, Archiviazione di Azure e Azure Information Protection e offre il supporto per TLS senza chiavi con F5 e Nginx. Per altre informazioni, vedere Che cos'è il modulo di protezione hardware gestito di Azure Key Vault?
HSM dedicato di Azure: un'offerta del modulo di protezione hardware bare metal convalidata FIPS 140-2 di livello 3 che permette ai clienti di eseguire il lease di un'appliance di modulo di protezione hardware per utilizzo generico che risiede nei data center Microsoft. Il cliente ha la proprietà completa e totale sul dispositivo del modulo di protezione hardware ed è responsabile dell'applicazione di patch e dell'aggiornamento del firmware quando necessario. Microsoft non ha autorizzazioni per il dispositivo né ha accesso al materiale chiave e HSM dedicato non è integrato con le offerte PaaS di Azure. I clienti possono interagire con il modulo di protezione hardware usando le API PKCS#11, JCE/JCA e KSP/CNG. Questa offerta è utile soprattutto per carichi di lavoro lift-and-shift legacy, PKI, offload di SSL e TLS senza chiave (le integrazioni supportate includono F5, Nginx, Apache, Palo Alto, IBM GW e altro), applicazioni OpenSSL, Oracle TDE e IaaS Azure SQL TDE. Per altre informazioni, vedere Che cos'è il modulo di protezione hardware gestito di Azure Key Vault?
HSM di pagamento di Azure: un'offerta bare metal convalidata FIPS 140-2 di livello 3, PCI HSM v3, che consente ai clienti di eseguire il lease di un'appliance HSM di pagamento nei data center Microsoft per le operazioni di pagamento, inclusi elaborazione dei pagamenti, emissione di credenziali di pagamento, protezione delle chiavi e dei dati di autenticazione e protezione dei dati sensibili. Il servizio è conforme a PCI DSS e PCI 3DS. HSM di pagamento di Azure offre moduli di protezione hardware a tenant singolo per consentire ai clienti di avere il controllo amministrativo completo e l'accesso esclusivo al modulo di protezione hardware. Una volta che il modulo di protezione hardware viene allocato a un cliente, Microsoft non ha accesso ai dati dei clienti. Analogamente, quando il modulo di protezione hardware non è più richiesto, i dati dei clienti vengono impostati su zero e cancellati non appena il modulo di protezione hardware viene rilasciato, in modo da garantire che vengano mantenute la privacy e la sicurezza complete. Per altre informazioni, vedere Informazioni su HSM di pagamento di Azure.
Per una panoramica dei tipi di segreti, chiavi e certificati che è possibile usare nell'insieme di credenziali delle chiavi, vedere Panoramica di chiavi, segreti e certificati di Azure Key Vault
Procedure consigliate per l'uso di Key Vault
Usare insiemi di credenziali delle chiavi separati
È consigliabile usare un insieme di credenziali per applicazione, per ambiente (sviluppo, pre-produzione e produzione), per area. Questo consente di non condividere segreti tra ambienti e aree. Inoltre riduce la minaccia in caso di violazione.
Perché è consigliabile separare gli insiemi di credenziali delle chiavi
Gli insiemi di credenziali delle chiavi definiscono i limiti di sicurezza per i segreti archiviati. Il raggruppamento dei segreti nello stesso insieme di credenziali aumenta il raggio di esplosione di un evento di sicurezza perché gli attacchi potrebbero essere in grado di accedere ai segreti tra problemi. Per ridurre l'accesso tra problemi, considerare i segreti a cui un'applicazione specifica deve avere accesso e quindi separare gli insiemi di credenziali delle chiavi in base a questo delineamento. La separazione degli insiemi di credenziali delle chiavi per applicazione è il limite più comune. I limiti di sicurezza, tuttavia, possono essere più granulari per applicazioni di grandi dimensioni, ad esempio per ogni gruppo di servizi correlati.
Controllare l'accesso all'insieme di credenziali
Le chiavi di crittografia e i segreti, ad esempio certificati, stringhe di connessione e password, sono sensibili e business critical. È necessario proteggere l'accesso agli insiemi di credenziali delle chiavi consentendo solo le applicazioni e gli utenti autorizzati. Le funzionalità di sicurezza di Azure Key Vault offrono una panoramica del modello di accesso di Key Vault. Illustrano l'autenticazione e l'autorizzazione. Inoltre descrivono come proteggere l'accesso agli insiemi di credenziali delle chiavi.
I suggerimenti per controllare l'accesso all'insieme di credenziali sono i seguenti:
- Bloccare l'accesso alla sottoscrizione, al gruppo di risorse e agli insiemi di credenziali delle chiavi (controllo degli accessi in base al ruolo).
- Creare criteri di accesso per ogni insieme di credenziali.
- Usare il principio dell'accesso con privilegi minimi per concedere l'accesso.
- Attivare il firewall e gli endpoint servizio di rete virtuale.
Attivare la protezione dei dati per l'insieme di credenziali
Attivare la protezione dall'eliminazione per proteggersi da eliminazioni dannose o accidentali dei segreti e dell'insieme di credenziali delle chiavi anche dopo l'attivazione dell'eliminazione temporanea.
Per altre informazioni, vedere Panoramica dell'eliminazione temporanea di Azure Key Vault
Abilitare la registrazione
Attivare la registrazione per l'insieme di credenziali. Inoltre configurare gli avvisi.
Backup
La protezione dall'eliminazione impedisce l'eliminazione accidentale e dannosa degli oggetti dell'insieme di credenziali per un massimo di 90 giorni. Negli scenari in cui la protezione dall'eliminazione non è un'opzione possibile, è consigliabile eseguire il backup degli oggetti dell'insieme di credenziali, che non possono essere ricreati da altre origini, ad esempio le chiavi di crittografia generate all'interno dell'insieme di credenziali.
Per altre informazioni sul backup, vedere Backup e ripristino di Azure Key Vault
Soluzioni multi-tenant e Key Vault
Una soluzione multi-tenant si basa su un'architettura in cui i componenti vengono usati per gestire più clienti o tenant. Le soluzioni multi-tenant vengono spesso usate per supportare soluzioni SaaS (Software as a Service). Se si sta creando una soluzione multi-tenant che include Key Vault, vedere Multitenancy e Azure Key Vault.