Projektowanie rozwiązania do zarządzania wpisami tajnymi, kluczami i certyfikatami

  • 10 min

Na platformie Azure klucze szyfrowania mogą być zarządzane przez platformę lub zarządzane przez klienta.

Klucze zarządzane przez platformę (PMK) to klucze szyfrowania, które są generowane, przechowywane i zarządzane w całości przez platformę Azure. Klienci nie wchodzą w interakcje z zestawami PMK. Klucze używane na potrzeby usługi Azure Data Encryption-at-Rest, na przykład, są domyślnie kluczami PMKs.

Klucze zarządzane przez klienta (CMK) to klucze, które można odczytywać, tworzyć, usuwać, aktualizować i/lub administrować przez co najmniej jednego klienta. Klucze przechowywane w magazynie kluczy należących do klienta lub sprzętowym module zabezpieczeń (HSM) są kluczami CMK. Bring Your Own Key (BYOK) to scenariusz klucza zarządzanego przez klienta, w którym klient importuje (przenosi) klucze z lokalizacji zewnętrznej magazynu do usługi zarządzania kluczami platformy Azure (zobacz Azure Key Vault: Bring your own key specification).

Określony rodzaj klucza zarządzanego przez klienta to "klucz szyfrowania klucza" (KEK). Klucz KEK to klucz podstawowy, który kontroluje dostęp do co najmniej jednego klucza szyfrowania, które są szyfrowane.

Klucze zarządzane przez klienta można przechowywać lokalnie lub częściej w usłudze zarządzania kluczami w chmurze.

Usługi zarządzania kluczami platformy Azure

Platforma Azure oferuje kilka opcji przechowywania kluczy i zarządzania nimi w chmurze, w tym usługi Azure Key Vault, zarządzanego modułu HSM platformy Azure, dedykowanego modułu HSM i modułu HSM Płatności. Te opcje różnią się pod względem poziomu zgodności ze standardem FIPS, obciążeniami zarządzania i zamierzonymi aplikacjami.

Azure Key Vault (warstwa Standardowa): zweryfikowana usługa zarządzania kluczami w chmurze z wieloma dzierżawami, która może być również używana do przechowywania wpisów tajnych i certyfikatów na poziomie FIPS 140-2 poziom 1. Klucze przechowywane w usłudze Azure Key Vault są chronione przez oprogramowanie i mogą być używane do szyfrowania magazynowanych i niestandardowych aplikacji. Usługa Key Vault udostępnia nowoczesny interfejs API oraz najszerszy zakres regionalnych wdrożeń i integracji z usługami platformy Azure. Aby uzyskać więcej informacji, zobacz About Azure Key Vault (Informacje o usłudze Azure Key Vault).

Azure Key Vault (warstwa Premium) : zweryfikowana oferta modułu HSM z wieloma dzierżawami z certyfikatem FIPS 140-2 na poziomie 2, która może służyć do przechowywania kluczy w bezpiecznej granicy sprzętu. Firma Microsoft zarządza podstawowym modułem HSM, a klucze przechowywane w usłudze Azure Key Vault Premium mogą być używane do szyfrowania magazynowanych i niestandardowych aplikacji. Usługa Key Vault Premium udostępnia również nowoczesny interfejs API oraz najszerszy zakres regionalnych wdrożeń i integracji z usługami platformy Azure. Aby uzyskać więcej informacji, zobacz About Azure Key Vault (Informacje o usłudze Azure Key Vault).

Moduł HSM zarządzany przez platformę Azure: zweryfikowany moduł HSM na poziomie 3 fiPS 140-2 poziom 3, który zapewnia klientom pełną kontrolę nad modułem HSM na potrzeby szyfrowania magazynowanego, bez klucza SSL i aplikacji niestandardowych. Klienci otrzymują pulę trzech partycji HSM — jednocześnie działając jako jedno logiczne, wysoce dostępne urządzenie HSM — frontowane przez usługę, która uwidacznia funkcje kryptograficzne za pośrednictwem interfejsu API usługi Key Vault. Firma Microsoft obsługuje aprowizację, stosowanie poprawek, konserwację i tryb failover sprzętu modułów HSM, ale nie ma dostępu do samych kluczy, ponieważ usługa jest wykonywana w poufnej infrastrukturze obliczeniowej platformy Azure. Zarządzany moduł HSM jest zintegrowany z usługami Azure SQL, Azure Storage i Azure Information Protection PaaS oraz oferuje obsługę bezkluczego protokołu TLS za pomocą klawiszy F5 i Nginx. Aby uzyskać więcej informacji, zobacz Co to jest zarządzany moduł HSM usługi Azure Key Vault?

Dedykowany moduł HSM platformy Azure: zweryfikowany na poziomie 3 standard FIPS 140-2 bez systemu operacyjnego, który umożliwia klientom dzierżawę urządzenia HSM ogólnego przeznaczenia, które znajduje się w centrach danych firmy Microsoft. Klient ma pełną własność urządzenia HSM i odpowiada za stosowanie poprawek i aktualizowanie oprogramowania układowego w razie potrzeby. Firma Microsoft nie ma uprawnień do urządzenia ani dostępu do klucza, a dedykowany moduł HSM nie jest zintegrowany z żadnymi ofertami paaS platformy Azure. Klienci mogą korzystać z modułu HSM przy użyciu interfejsów API PKCS#11, JCE/JCA i KSP/CNG. Ta oferta jest najbardziej przydatna w przypadku starszych obciążeń metodą lift-and-shift, infrastruktury PKI, odciążania ssl i bez klucza TLS (obsługiwane integracje to F5, Nginx, Apache, Palo Alto, IBM GW i nie tylko), aplikacje OpenSSL, Oracle TDE i Azure SQL TDE IaaS. Aby uzyskać więcej informacji, zobacz Co to jest zarządzany moduł HSM usługi Azure Key Vault?

Azure Płatności HSM: fiPS 140-2 Poziom 3, PCI HSM v3, zweryfikowana oferta bez systemu operacyjnego, która umożliwia klientom dzierżawę urządzenia HSM płatności w centrach danych firmy Microsoft na potrzeby operacji płatności, w tym przetwarzania płatności, wystawiania poświadczeń płatności, zabezpieczania kluczy i danych uwierzytelniania oraz ochrony poufnych danych. Usługa jest zgodna ze standardem PCI DSS i PCI 3DS. Moduł HSM usługi Azure Payment oferuje moduły HSM z jedną dzierżawą dla klientów, które mają pełną kontrolę administracyjną i wyłączny dostęp do modułu HSM. Po przydzieleniu modułu HSM do klienta firma Microsoft nie ma dostępu do danych klientów. Podobnie, gdy moduł HSM nie jest już wymagany, dane klienta są wyzerowane i usuwane zaraz po wydaniu modułu HSM, aby zapewnić zachowanie pełnej prywatności i bezpieczeństwa. Aby uzyskać więcej informacji, zobacz About Azure Payment HSM (Informacje o module HSM płatności platformy Azure).

Omówienie typów wpisów tajnych, kluczy i certyfikatów, z których można pracować w magazynie kluczy, zobacz Omówienie kluczy, wpisów tajnych i certyfikatów usługi Azure Key Vault

Najlepsze rozwiązania dotyczące korzystania z usługi Key Vault

Używanie oddzielnych magazynów kluczy

Naszym zaleceniem jest użycie magazynu na aplikację na środowisko (programowanie, przedprodukcyjne i produkcyjne) na region. Ułatwia to udostępnianie wpisów tajnych w środowiskach i regionach. Zmniejszy to również zagrożenie w przypadku naruszenia zabezpieczeń.

Dlaczego zalecamy oddzielne magazyny kluczy

Magazyny kluczy definiują granice zabezpieczeń dla przechowywanych wpisów tajnych. Grupowanie wpisów tajnych w tym samym magazynie zwiększa promień wybuchu zdarzenia zabezpieczeń, ponieważ ataki mogą mieć dostęp do wpisów tajnych w różnych problemach. Aby ograniczyć dostęp między problemami, należy wziąć pod uwagę wpisy tajne, do których powinna mieć dostęp określona aplikacja , a następnie oddzielić magazyny kluczy na podstawie tej linii. Rozdzielenie magazynów kluczy według aplikacji jest najbardziej typową granicą. Jednak granice zabezpieczeń mogą być bardziej szczegółowe dla dużych aplikacji, na przykład dla grupy powiązanych usług.

Kontrolowanie dostępu do magazynu

Klucze szyfrowania i wpisy tajne, takie jak certyfikaty, parametry połączenia i hasła, są wrażliwe i krytyczne dla działania firmy. Musisz zabezpieczyć dostęp do magazynów kluczy, zezwalając tylko autoryzowanym aplikacjom i użytkownikom. Funkcje zabezpieczeń usługi Azure Key Vault udostępniają omówienie modelu dostępu usługi Key Vault. Wyjaśniono w nim uwierzytelnianie i autoryzację. W tym artykule opisano również sposób zabezpieczania dostępu do magazynów kluczy.

Sugestie dotyczące kontrolowania dostępu do magazynu są następujące:

  • Zablokuj dostęp do subskrypcji, grupy zasobów i magazynów kluczy (kontrola dostępu oparta na rolach)).
  • Utwórz zasady dostępu dla każdego magazynu.
  • Użyj zasady najniższych uprawnień dostępu, aby udzielić dostępu.
  • Włącz zaporę i punkty końcowe usługi sieci wirtualnej.

Włączanie ochrony danych dla magazynu

Włącz ochronę przed przeczyszczeniem, aby chronić przed złośliwym lub przypadkowym usunięciem wpisów tajnych i magazynu kluczy nawet po włączeniu usuwania nietrwałego.

Aby uzyskać więcej informacji, zobacz Omówienie usuwania nietrwałego usługi Azure Key Vault

Włącz rejestrowanie

Włącz rejestrowanie dla magazynu. Ponadto skonfiguruj alerty.

Wykonywanie kopii zapasowej

Ochrona przed przeczyszczeniem uniemożliwia złośliwe i przypadkowe usunięcie obiektów magazynu przez maksymalnie 90 dni. W scenariuszach, w których ochrona przed przeczyszczeniem nie jest możliwa, zalecamy tworzenie obiektów magazynu kopii zapasowych, których nie można odtworzyć z innych źródeł, takich jak klucze szyfrowania generowane w magazynie.

Aby uzyskać więcej informacji na temat tworzenia kopii zapasowych, zobacz Tworzenie kopii zapasowej i przywracanie usługi Azure Key Vault

Rozwiązania wielodostępne i usługa Key Vault

Rozwiązanie wielodostępne jest oparte na architekturze, w której składniki są używane do obsługi wielu klientów lub dzierżaw. Rozwiązania wielodostępne są często używane do obsługi rozwiązań oprogramowania jako usługi (SaaS). Jeśli tworzysz wielodostępne rozwiązanie obejmujące usługę Key Vault, zapoznaj się z artykułem Multitenancy i Azure Key Vault.