Delen via

Versleuteling en sleutelbeheer in Azure

  • Artikel

Versleuteling is een belangrijke stap voor het waarborgen van gegevensprivacy, naleving en gegevenslocatie in Microsoft Azure. Het is ook een van de belangrijkste beveiligingsproblemen van veel ondernemingen. In deze sectie worden ontwerpoverwegingen en aanbevelingen voor versleuteling en sleutelbeheer beschreven.

Ontwerpoverwegingen

  • Stel abonnements- en schaallimieten in wanneer deze van toepassing zijn op Azure Key Vault.

    Key Vault heeft transactielimieten voor sleutels en geheimen. Als u transacties per kluis gedurende een bepaalde periode wilt beperken, raadpleegt u Azure-limieten.

    Key Vault dient een beveiligingsgrens omdat toegangsmachtigingen voor sleutels, geheimen en certificaten zich op kluisniveau bevinden. Key Vault-toegangsbeleidstoewijzingen verlenen afzonderlijke machtigingen aan sleutels, geheimen of certificaten. Ze bieden geen ondersteuning voor gedetailleerde machtigingen op objectniveau, zoals een specifieke sleutel, geheim of certificaatsleutelbeheer.

  • Isoleer indien nodig toepassingsspecifieke en workloadspecifieke geheimen en gedeelde geheimen om de toegang te beheren.

  • Optimaliseer Premium-SKU's waarbij HSM-beveiligde sleutels (Hardware Security Module) vereist zijn.

    Onderliggende HSM's zijn compatibel met FIPS 140-2 Level 2. Beheer de toegewezen HSM van Azure voor FIPS 140-2 Niveau 3-naleving door rekening te houden met de ondersteunde scenario's.

  • Sleutelrotatie en verlooptijd van geheim beheren.

  • Key Vault-certificaten gebruiken om de aanschaf en ondertekening van certificaten te beheren. Waarschuwingen, meldingen en automatische certificaatvernieuwingen instellen.

  • Stel vereisten voor herstel na noodgevallen in voor sleutels, certificaten en geheimen.

  • Stel de replicatie- en failovermogelijkheden van de Key Vault-service in. Beschikbaarheid en redundantie instellen.

  • Controleer het gebruik van sleutels, certificaten en geheimen.

    Onbevoegde toegang detecteren met behulp van een sleutelkluis of Een Azure Monitor Log Analytics-werkruimte. Zie Bewaking en waarschuwingen voor Azure Key Vault voor meer informatie.

  • Key Vault-instantie en bevoegde toegang delegeren. Zie Azure Key Vault-beveiliging voor meer informatie.

  • Vereisten instellen voor het gebruik van door de klant beheerde sleutels voor systeemeigen versleutelingsmechanismen, zoals Azure Storage-versleuteling:

    • Door klant beheerde sleutels
    • Wie versleuteling voor virtuele machines (VM's)
    • Versleuteling van gegevens in transit
    • Versleuteling van data-at-rest

Ontwerpaanaanvelingen

  • Gebruik een federatief Azure Key Vault-model om limieten voor transactieschaal te voorkomen.

  • Azure RBAC is het aanbevolen autorisatiesysteem voor het Azure Key Vault-gegevensvlak. Zie op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) versus toegangsbeleid (verouderd) voor meer informatie.

  • Richt Azure Key Vault in met het beleid voor voorlopig verwijderen en opschonen ingeschakeld om bewaarbeveiliging voor verwijderde objecten mogelijk te maken.

  • Volg een model met minimale bevoegdheden door de autorisatie te beperken om sleutels, geheimen en certificaten permanent te verwijderen naar gespecialiseerde aangepaste Microsoft Entra-rollen.

  • Automatiseer het proces voor certificaatbeheer en verlenging met openbare certificeringsinstanties om het beheer te vereenvoudigen.

  • Stel een geautomatiseerd proces in voor sleutel- en certificaatrotatie.

  • Schakel firewall- en service-eindpunten voor virtuele netwerken in de kluis in om de toegang tot de sleutelkluis te beheren.

  • Gebruik de platform-centrale Azure Monitor Log Analytics-werkruimte om het gebruik van sleutels, certificaten en geheimen in elk exemplaar van Key Vault te controleren.

  • Delegeer Key Vault-instantie en bevoegde toegang en gebruik Azure Policy om een consistente compatibele configuratie af te dwingen.

  • Standaard gebruikt u door Microsoft beheerde sleutels voor principal-versleutelingsfunctionaliteit en gebruikt u indien nodig door de klant beheerde sleutels.

  • Gebruik geen gecentraliseerde exemplaren van Key Vault voor toepassingssleutels of geheimen.

  • Als u het delen van geheimen tussen omgevingen wilt voorkomen, deelt u geen Key Vault-exemplaren tussen toepassingen.