Udostępnij za pośrednictwem


Punkt odniesienia zabezpieczeń platformy Azure dla Key Vault

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do Key Vault. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące Key Vault.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu Microsoft Defender for Cloud.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Funkcje, które nie mają zastosowania do Key Vault zostały wykluczone. Aby zobaczyć, jak Key Vault całkowicie mapować na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Key Vault.

Profil zabezpieczeń

Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na Key Vault, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.

Atrybut zachowania usługi Wartość
Product Category Zabezpieczenia
Klient może uzyskać dostęp do hosta/systemu operacyjnego Brak dostępu
Usługę można wdrożyć w sieci wirtualnej klienta Prawda
Przechowuje zawartość klienta magazynowanych Prawda

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.

NS-1: Ustanawianie granic segmentacji sieci

Funkcje

Integracja sieci wirtualnej

Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: usługa Azure Key Vault obsługuje punkty końcowe usługi dla sieci wirtualnej, co pozwala ograniczyć dostęp magazynu kluczy do określonej sieci wirtualnej.

Dokumentacja: Zabezpieczenia sieciowe usługi Azure Key Vault

Obsługa sieciowej grupy zabezpieczeń

Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jej podsieciach. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj sieciowych grup zabezpieczeń, aby ograniczyć lub monitorować ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Utwórz reguły sieciowej grupy zabezpieczeń, aby ograniczyć otwarte porty usługi (takie jak zapobieganie uzyskiwaniu dostępu do portów zarządzania z niezaufanych sieci). Należy pamiętać, że domyślnie sieciowe grupy zabezpieczeń odrzucają cały ruch przychodzący, ale zezwalają na ruch z sieci wirtualnej i modułów równoważenia obciążenia platformy Azure.

NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci

Funkcje

Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub Azure Firewall). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Wdrażanie prywatnych punktów końcowych dla usługi Azure Key Vault w celu ustanowienia prywatnego punktu dostępu dla zasobów.

Dokumentacja: Azure Key Vault Private Link

Wyłączanie dostępu do sieci publicznej

Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przy użyciu przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: wyłączanie dostępu do sieci publicznej przy użyciu reguł filtrowania adresów IP zapory usługi Azure Key Vault.

Dokumentacja: Zabezpieczenia sieci usługi Azure Key Vault

Microsoft Defender do monitorowania chmury

Azure Policy wbudowanych definicji — Microsoft.KeyVault:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Usługa Azure Key Vault powinna mieć włączoną zaporę Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security Inspekcja, Odmowa, Wyłączone 3.2.1

Zarządzanie tożsamościami

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie tożsamościami.

IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania

Funkcje

Uwierzytelnianie Azure AD wymagane do uzyskania dostępu do płaszczyzny danych

Opis: Usługa obsługuje uwierzytelnianie Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

Dokumentacja: uwierzytelnianie za pomocą usługi Azure Key Vault

Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych

Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Im-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Funkcje

Tożsamości zarządzane

Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: używaj tożsamości zarządzanych platformy Azure zamiast jednostek usługi, gdy jest to możliwe, co umożliwia uwierzytelnianie w usługach i zasobach platformy Azure obsługujących uwierzytelnianie usługi Azure Active Directory (Azure AD). Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, co pozwala uniknąć zakodowanych poświadczeń w kodzie źródłowym lub plikach konfiguracji.

Dokumentacja: uwierzytelnianie za pomocą usługi Azure Key Vault

Jednostki usługi

Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Dodatkowe wskazówki: zaleca się używanie tożsamości zarządzanych zamiast jednostek usługi. Jeśli należy używać jednostek usługi, należy ograniczyć użycie do scenariuszy przypadków użycia, w których wymagany jest dostęp bez użytkowników, a tożsamości zarządzane nie są obsługiwane, takie jak przepływy automatyzacji lub integracje systemu innej firmy.

Dokumentacja: uwierzytelnianie za pomocą usługi Azure Key Vault

Im-7: Ograniczanie dostępu do zasobów na podstawie warunków

Funkcje

Dostęp warunkowy dla płaszczyzny danych

Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu Azure AD zasad dostępu warunkowego. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Definiowanie odpowiednich warunków i kryteriów dostępu warunkowego usługi Azure Active Directory (Azure AD) w obciążeniu. Rozważ typowe przypadki użycia, takie jak blokowanie lub udzielanie dostępu z określonych lokalizacji, blokowanie ryzykownego zachowania logowania lub wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji.

Dokumentacja: dostęp warunkowy usługi Azure Key Vault

Im-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych

Funkcje

Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych w usłudze Azure Key Vault

Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault do przechowywania poświadczeń i wpisów tajnych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak usługa Azure Key Vault, zamiast osadzać je w plikach kodu lub konfiguracji.

Dokumentacja: Informacje o wpisach tajnych usługi Azure Key Vault

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.

PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników

Funkcje

Konta Administracja lokalnych

Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

PA-7: Przestrzegaj zasady wystarczającej liczby administracji (najniższych uprawnień)

Funkcje

Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych

Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure do zarządzania dostępem do zasobów platformy Azure za pomocą wbudowanych przypisań ról. Role RBAC platformy Azure można przypisywać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych.

Dokumentacja: obsługa kontroli RBAC w usłudze Azure Key Vault

Ochrona danych

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.

DP-3: Szyfrowanie poufnych danych przesyłanych

Funkcje

Dane w szyfrowaniu tranzytowym

Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

Dodatkowe wskazówki: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to zarządzane przez platformę Azure

Dokumentacja: Funkcje zabezpieczeń usługi Azure Key Vault

DP-4: Domyślnie włącz szyfrowanie danych magazynowanych

Funkcje

Szyfrowanie danych magazynowanych przy użyciu kluczy platformy

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

Dokumentacja: Bezpieczny magazyn wpisów tajnych i kluczy w usłudze Azure Key Vault

DP-5: Użyj opcji klucza zarządzanego przez klienta w szyfrowaniu danych magazynowanych, jeśli jest to wymagane

Funkcje

Szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: usługa Azure Key Vault to miejsce przechowywania kluczy na potrzeby szyfrowania klucza zarządzanego przez klienta (CMK). Istnieje możliwość użycia kluczy chronionych przez oprogramowanie lub kluczy chronionych przez moduł HSM (sprzętowy moduł zabezpieczeń) dla rozwiązania CMK.

Uwaga: Aby uzyskać szczegółowe informacje o kluczu zarządzanym przez klienta i module HSM, zapoznaj się z tematem: https://techcommunity.microsoft.com/t5/azure-confidential-computing/azure-key-vault-managed-hsm-control-your-data-in-the-cloud/ba-p/3359310

Dokumentacja: Bezpieczny magazyn wpisów tajnych i kluczy w usłudze Azure Key Vault

DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami

Funkcje

Zarządzanie kluczami w usłudze Azure Key Vault

Opis: Usługa obsługuje integrację Key Vault platformy Azure dla dowolnych kluczy klienta, wpisów tajnych lub certyfikatów. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi usługi Azure Key Vault, aby bezpiecznie zarządzać cyklem życia klucza w magazynie kluczy. Obejmuje to generowanie kluczy, dystrybucję, magazyn, rotację i odwoływanie.

Dokumentacja: Zarządzanie kluczami w usłudze Azure Key Vault

Microsoft Defender do monitorowania chmury

Azure Policy wbudowanych definicji — Microsoft.KeyVault:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Key Vault klucze powinny mieć datę wygaśnięcia Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia kluczy kryptograficznych. Inspekcja, Odmowa, Wyłączone 1.0.2

DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami

Funkcje

Zarządzanie certyfikatami w usłudze Azure Key Vault

Opis: Usługa obsługuje integrację usługi Azure Key Vault dla wszystkich certyfikatów klienta. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi usługi Azure Key Vault, aby bezpiecznie zarządzać cyklem życia certyfikatu w magazynie kluczy. Obejmuje to tworzenie/importowanie kluczy, rotację, odwoływanie, przechowywanie i przeczyszczanie certyfikatu.

Dokumentacja: Zarządzanie certyfikatami usługi Azure Key Vault

Microsoft Defender do monitorowania chmury

Azure Policy wbudowanych definicji — Microsoft.KeyVault:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Certyfikaty powinny mieć określony maksymalny okres ważności Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas ważności certyfikatu w magazynie kluczy. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 2.2.1

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.

AM-2: Używaj tylko zatwierdzonych usług

Funkcje

Obsługa usługi Azure Policy

Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj Microsoft Defender for Cloud, aby skonfigurować Azure Policy do inspekcji i wymuszania konfiguracji usługi Azure Key Vault. Użyj usługi Azure Monitor, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów. Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje] efekty, aby wymusić bezpieczną konfigurację między zasobami platformy Azure.

Dokumentacja: Zasady usługi Azure Key Vault

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie możliwości wykrywania zagrożeń

Funkcje

Microsoft Defender dla usługi/oferty produktu

Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: włącz Microsoft Defender dla Key Vault, gdy otrzymasz alert z Microsoft Defender dla Key Vault, zbadaj alert i odpowiedz na nie.

Dokumentacja: Microsoft Defender dla usługi Azure Key Vault

LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń

Funkcje

Dzienniki zasobów platformy Azure

Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Włączanie dzienników zasobów dla magazynu kluczy. Dzienniki zasobów dla usługi Azure Key Vault mogą rejestrować kluczowe działania operacji, takie jak tworzenie kluczy, pobieranie i usuwanie.

Dokumentacja: Rejestrowanie w usłudze Azure Key Vault

Tworzenie i przywracanie kopii zapasowych

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.

BR-1: Zapewnienie regularnych automatycznych kopii zapasowych

Funkcje

Azure Backup

Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Natywne możliwości tworzenia kopii zapasowej usługi

Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używasz Azure Backup). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Dodatkowe wskazówki: korzystanie z natywnej funkcji tworzenia kopii zapasowych usługi Azure Key Vault do tworzenia kopii zapasowych wpisów tajnych, kluczy i certyfikatów oraz zapewnienia możliwości odzyskania usługi przy użyciu danych kopii zapasowej.

Dokumentacja: Kopia zapasowa usługi Azure Key Vault

Następne kroki