Een oplossing ontwerpen voor het beheren van geheimen, sleutels en certificaten
In Azure kunnen versleutelingssleutels worden beheerd door het platform of door de klant.
Door platform beheerde sleutels (PMK's) zijn versleutelingssleutels die volledig worden gegenereerd, opgeslagen en beheerd door Azure. Klanten communiceren niet met PMK's. De sleutels die worden gebruikt voor Azure Data Encryption-at-Rest zijn bijvoorbeeld standaard PMK's.
Door de klant beheerde sleutels (CMK) zijn daarentegen de sleutels die kunnen worden gelezen, gemaakt, verwijderd, bijgewerkt en/of beheerd door een of meer klanten. Sleutels die zijn opgeslagen in een sleutelkluis van de klant of hardwarebeveiligingsmodule (HSM) zijn CMK's. Bring Your Own Key (BYOK) is een CMK-scenario waarin een klant sleutels importeert (brengt) van een externe opslaglocatie naar een Azure-sleutelbeheerservice (zie de Azure Key Vault: Bring your own key specification).
Een specifiek type door de klant beheerde sleutel is de 'sleutelversleutelingssleutel' (KEK). Een KEK is een primaire sleutel die de toegang tot een of meer versleutelingssleutels beheert die zelf zijn versleuteld.
Door de klant beheerde sleutels kunnen on-premises of vaker worden opgeslagen in een cloudsleutelbeheerservice.
Azure Key Management-services
Azure biedt verschillende opties voor het opslaan en beheren van uw sleutels in de cloud, waaronder Azure Key Vault, Azure Managed HSM, Toegewezen HSM en Betalingen HSM. Deze opties verschillen in termen van hun FIPS-nalevingsniveau, beheeroverhead en beoogde toepassingen.
Azure Key Vault (Standard-laag):een fips 140-2 level 1 gevalideerde cloudsleutelbeheerservice met meerdere tenants die ook kan worden gebruikt voor het opslaan van geheimen en certificaten. Sleutels die zijn opgeslagen in Azure Key Vault zijn met software beveiligd en kunnen worden gebruikt voor versleuteling-at-rest en aangepaste toepassingen. Key Vault biedt een moderne API en de breedste breedte van regionale implementaties en integraties met Azure Services. Zie Over Azure Key Vault voor meer informatie.
Azure Key Vault (Premium-laag):een met FIPS 140-2 Level 2 gevalideerde HSM-aanbieding met meerdere tenants die kan worden gebruikt voor het opslaan van sleutels in een veilige hardwaregrens. Microsoft beheert en beheert de onderliggende HSM en sleutels die zijn opgeslagen in Azure Key Vault Premium, kunnen worden gebruikt voor versleuteling-at-rest en aangepaste toepassingen. Key Vault Premium biedt ook een moderne API en de breedste breedte van regionale implementaties en integraties met Azure Services. Zie Over Azure Key Vault voor meer informatie.
Door Azure beheerde HSM: een HSM-aanbieding met één tenant die klanten volledige controle geeft over een HSM voor versleuteling-at-rest, Keyless SSL en aangepaste toepassingen. Klanten ontvangen een groep van drie HSM-partities, samen fungerend als één logisch, maximaal beschikbaar HSM-apparaat, voorafgegaan door een service die cryptofunctionaliteit beschikbaar maakt via de Key Vault-API. Microsoft verwerkt het inrichten, patchen, onderhoud en hardwarefailover van de HSM's, maar heeft geen toegang tot de sleutels zelf, omdat de service wordt uitgevoerd binnen de Vertrouwelijke compute-infrastructuur van Azure. Beheerde HSM is geïntegreerd met de PaaS-services van Azure SQL, Azure Storage en Azure Information Protection en biedt ondersteuning voor Keyless TLS met F5 en Nginx. Zie Wat is azure Key Vault Managed HSM?
Azure Dedicated HSM: een MET FIPS 140-2 Level 3 gevalideerde bare-metal HSM-aanbieding waarmee klanten een HSM-apparaat voor algemeen gebruik kunnen leasen dat zich in Microsoft-datacenters bevindt. De klant heeft het volledige en totale eigendom van het HSM-apparaat en is verantwoordelijk voor het patchen en bijwerken van de firmware wanneer dat nodig is. Microsoft heeft geen machtigingen op het apparaat of toegang tot het sleutelmateriaal en toegewezen HSM is niet geïntegreerd met azure PaaS-aanbiedingen. Klanten kunnen communiceren met de HSM met behulp van de PKCS#11, JCE/JCA en KSP/CNG-API's. Deze aanbieding is het nuttigst voor verouderde lift-and-shift-workloads, PKI, SSL-offloading en Keyless TLS (ondersteunde integraties zijn F5, Nginx, Apache, Palo Alto, IBM GW en meer), OpenSSL-toepassingen, Oracle TDE en Azure SQL TDE IaaS. Zie Wat is azure Key Vault Managed HSM?
Azure Betalingen HSM: een FIPS 140-2 Level 3, PCI HSM v3, gevalideerd bare metal-aanbod waarmee klanten een HSM-apparaat voor betaling kunnen leasen in Microsoft-datacenters voor betalingsbewerkingen, waaronder betalingsverwerking, het uitgeven van betalingsreferenties, het beveiligen van sleutels en verificatiegegevens en gevoelige gegevensbescherming. De service is PCI DSS- en PCI 3DS-compatibel. Azure Payment HSM biedt HSM's met één tenant voor klanten om volledig beheer en exclusieve toegang tot de HSM te hebben. Zodra de HSM is toegewezen aan een klant, heeft Microsoft geen toegang tot klantgegevens. Zodra de HSM niet meer vereist is, worden klantgegevens ook nul gemaakt en gewist zodra de HSM is vrijgegeven, om volledige privacy en beveiliging te garanderen. Zie Over Azure Payment HSM voor meer informatie.
Zie Overzicht van azure Key Vault-sleutels, geheimen en certificaten voor een overzicht van de typen geheimen, sleutels en certificaten waarmee u kunt werken in de sleutelkluis
Aanbevolen procedures voor het gebruik van Key Vault
Afzonderlijke sleutelkluizen gebruiken
Onze aanbeveling is om per toepassing per omgeving een kluis te gebruiken (ontwikkeling, preproductie en productie), per regio. Zo kunt u geen geheimen delen tussen omgevingen en regio's. Het vermindert ook de dreiging in het geval van een inbreuk.
Waarom we afzonderlijke sleutelkluizen aanbevelen
Sleutelkluizen definiëren beveiligingsgrenzen voor opgeslagen geheimen. Als u geheimen in dezelfde kluis groepeert, neemt de straalstraal van een beveiligingsgebeurtenis toe, omdat aanvallen mogelijk toegang hebben tot geheimen in verschillende problemen. Als u de toegang tot alle problemen wilt beperken, moet u overwegen tot welke geheimen een specifieke toepassing toegang moet hebben en vervolgens uw sleutelkluizen te scheiden op basis van deze afbakening. Het scheiden van sleutelkluizen per toepassing is de meest voorkomende grens. Beveiligingsgrenzen kunnen echter gedetailleerder zijn voor grote toepassingen, bijvoorbeeld per groep gerelateerde services.
Toegang tot uw kluis beheren
Versleutelingssleutels en geheimen, zoals certificaten, verbindingsreeks s en wachtwoorden, zijn gevoelig en bedrijfskritiek. U moet de toegang tot uw sleutelkluizen beveiligen door alleen geautoriseerde toepassingen en gebruikers toe te staan. Azure Key Vault-beveiligingsfuncties bieden een overzicht van het Key Vault-toegangsmodel. Hierin worden verificatie en autorisatie uitgelegd. Ook wordt beschreven hoe u de toegang tot uw sleutelkluizen kunt beveiligen.
Suggesties voor het beheren van de toegang tot uw kluis zijn als volgt:
- Vergrendel de toegang tot uw abonnement, resourcegroep en sleutelkluizen (op rollen gebaseerd toegangsbeheer (RBAC)).
- Maak toegangsbeleid voor elke kluis.
- Gebruik het principe van minimale toegangsrechten om toegang te verlenen.
- Schakel service-eindpunten voor firewalls en virtuele netwerken in.
Gegevensbeveiliging voor uw kluis inschakelen
Schakel beveiliging tegen opschonen in om bescherming te bieden tegen schadelijke of onbedoelde verwijdering van de geheimen en sleutelkluis, zelfs nadat voorlopig verwijderen is ingeschakeld.
Zie overzicht van voorlopig verwijderen in Azure Key Vault voor meer informatie
Schakel logboekregistratie in
Schakel logboekregistratie in voor uw kluis. Stel ook waarschuwingen in.
Backup
Beveiliging tegen opschonen voorkomt dat de kluisobjecten gedurende maximaal 90 dagen per ongeluk worden verwijderd. In scenario's waarin beveiliging tegen opschonen niet mogelijk is, wordt u aangeraden back-upkluisobjecten te maken die niet opnieuw kunnen worden gemaakt vanuit andere bronnen, zoals versleutelingssleutels die in de kluis worden gegenereerd.
Zie Back-up en herstel van Azure Key Vault voor meer informatie over back-ups
Multitenant-oplossingen en Key Vault
Een multitenant-oplossing is gebouwd op een architectuur waarin onderdelen worden gebruikt om meerdere klanten of tenants te bedienen. Multitenant-oplossingen worden vaak gebruikt ter ondersteuning van SaaS-oplossingen (Software as a Service). Als u een multitenant-oplossing bouwt die Key Vault bevat, controleert u Multitenancy en Azure Key Vault.