Azure Key Vault-säkerhet
Azure Key Vault skyddar kryptografiska nycklar, certifikat (och de privata nycklar som är associerade med certifikaten) och hemligheter (till exempel anslutningssträng och lösenord) i molnet. När du lagrar känsliga och affärskritiska data måste du dock vidta åtgärder för att maximera säkerheten för dina valv och de data som lagras i dem.
Nätverkssäkerhet
Du kan minska exponeringen för dina valv genom att ange vilka IP-adresser som har åtkomst till dem. Med tjänstslutpunkterna för virtuella nätverk för Azure Key Vault kan du begränsa åtkomsten till ett angivet virtuellt nätverk. Med slutpunkterna kan du också begränsa åtkomsten till en lista över adressintervall för IPv4 (Internet Protocol version 4). Alla användare som ansluter till ditt nyckelvalv utanför dessa källor nekas åtkomst.
När brandväggsregler är i kraft kan användarna bara läsa data från Key Vault när deras begäranden kommer från tillåtna virtuella nätverk eller IPv4-adressintervall. Detta gäller även för åtkomst till Key Vault från Azure-portalen. Även om användarna kan bläddra till ett nyckelvalv från Azure-portalen kanske de inte kan visa nycklar, hemligheter eller certifikat om klientdatorn inte finns med i listan över tillåtna.
Med Azure Private Link Service kan du komma åt Azure Key Vault och Azure-värdbaserade kund-/partnertjänster via en privat slutpunkt i ditt virtuella nätverk. En privat Azure-slutpunkt är ett nätverksgränssnitt som ansluter dig privat och säkert till en tjänst som drivs av Azure Private Link. Den privata slutpunkten använder en privat IP-adress från ditt virtuella nätverk som effektivt flyttar tjänsten till ditt virtuella nätverk. All trafik till tjänsten kan dirigeras via den privata slutpunkten, så inga gatewayer, NAT-enheter (Network Address Translation), ExpressRoute- eller VPN-anslutningar eller offentliga IP-adresser behövs. Trafik mellan ditt virtuella nätverk och tjänsten passerar över Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet. Du kan ansluta till en instans av en Azure-resurs, vilket ger dig den högsta detaljnivån i åtkomstkontrollen.
Transport Layer Security (TLS) och Hypertext Transfer Protocol Secure (HTTPS)
Key Vault-klientdelen (dataplanet) är en server med flera klientorganisationer. Det innebär att nyckelvalv från olika kunder kan dela samma offentliga IP-adress. För att uppnå isolering autentiseras och auktoriseras varje HTTP-begäran oberoende av andra begäranden.
MED HTTPS-protokollet kan klienten delta i TLS-förhandling. Klienter kan framtvinga versionen av TLS, och när en klient gör det använder hela anslutningen motsvarande nivåskydd. Key Vault stöder TLS 1.2- och 1.3-protokollversioner.
Alternativ för Key Vault-autentisering
När du skapar ett nyckelvalv i en Azure-prenumeration associeras det automatiskt med Prenumerationens Microsoft Entra-klientorganisation. Alla uppringare i båda planen måste registrera sig i den här klientorganisationen och autentiseras för att få åtkomst till nyckelvalvet. I båda fallen kan program komma åt Key Vault på tre sätt:
- Endast program: Programmet representerar tjänstens huvudnamn eller hanterade identitet. Den här identiteten är det vanligaste scenariot för program som regelbundet behöver komma åt certifikat, nycklar eller hemligheter från nyckelvalvet. För att det här scenariot ska fungera måste objectId för programmet anges i åtkomstprincipen och applicationId får inte anges eller måste vara null.
- Endast användare: Användaren kommer åt nyckelvalvet från alla program som är registrerade i klientorganisationen. Exempel på den här typen av åtkomst är Azure PowerShell och Azure-portalen. För att det här scenariot ska fungera måste objectId för användaren anges i åtkomstprincipen och applicationId får inte anges eller måste vara null.
- Program-plus-användare (kallas ibland sammansatt identitet): Användaren måste komma åt nyckelvalvet från ett visst program och programmet måste använda OBO-flödet (on-behalf-of authentication) för att personifiera användaren. För att det här scenariot ska fungera måste både applicationId och objectId anges i åtkomstprincipen. ApplicationId identifierar det program som krävs och objectId identifierar användaren. För närvarande är det här alternativet inte tillgängligt för Data Plane Azure RBAC.
I alla typer av åtkomst autentiseras programmet med Microsoft Entra-ID. Programmet använder alla autentiseringsmetoder som stöds baserat på programtypen. Programmet hämtar en token för en resurs i planet för att bevilja åtkomst. Resursen är en slutpunkt i hanterings- eller dataplanet baserat på Azure-miljön. Programmet använder token och skickar en REST API-begäran till Key Vault.
Modellen för en enda mekanism för autentisering till båda planen har flera fördelar:
- Organisationer kan styra åtkomsten centralt till alla nyckelvalv i organisationen.
- Om en användare lämnar företaget förlorar de omedelbart åtkomsten till alla nyckelvalv i organisationen.
- Organisationer kan anpassa autentiseringen med hjälp av alternativen i Microsoft Entra-ID, till exempel för att aktivera multifaktorautentisering för extra säkerhet.
Översikt över åtkomstmodell
Åtkomst till ett nyckelvalv styrs via två gränssnitt: hanteringsplanet och dataplanet. Hanteringsplanet är där du hanterar Själva Nyckelvalvet. Åtgärder i det här planet omfattar att skapa och ta bort nyckelvalv, hämta Key Vault-egenskaper och uppdatera åtkomstprinciper. Dataplanet är där du arbetar med data som lagras i ett nyckelvalv. Du kan lägga till, ta bort och ändra nycklar, hemligheter och certifikat.
Båda planen använder Microsoft Entra-ID för autentisering. För auktorisering använder hanteringsplanet rollbaserad åtkomstkontroll i Azure (Azure RBAC) och dataplanet använder en Key Vault-åtkomstprincip och Azure RBAC för key vault-dataplansåtgärder.
För att få åtkomst till ett nyckelvalv i något av plan måste alla anropare (användare eller program) ha rätt autentisering och auktorisering. Autentisering upprättar anroparens identitet. Auktorisering avgör vilka åtgärder anroparen kan köra. Autentisering med Key Vault fungerar tillsammans med Microsoft Entra ID, som ansvarar för att autentisera identiteten för ett specifikt säkerhetsobjekt.
Ett säkerhetsobjekt är ett objekt som representerar en användare, grupp, tjänst eller ett program som begär åtkomst till Azure-resurser. Azure tilldelar ett unikt objekt-ID till varje säkerhetsobjekt.
- Ett huvudnamn för användarsäkerhet identifierar en person som har en profil i Microsoft Entra-ID.
- Ett huvudnamn för gruppsäkerhet identifierar en uppsättning användare som skapats i Microsoft Entra-ID. Alla roller eller behörigheter som tilldelats gruppen beviljas till alla användare i gruppen.
- Ett huvudnamn för tjänsten är en typ av säkerhetsobjekt som identifierar ett program eller en tjänst, det vill säga en kod i stället för en användare eller grupp. Ett objekt-ID för tjänstens huvudnamn kallas dess klient-ID och fungerar som dess användarnamn. Tjänstens huvudnamns klienthemlighet eller certifikat fungerar som dess lösenord. Många Azure-tjänster stöder tilldelning av hanterad identitet med automatiserad hantering av klient-ID och certifikat. Hanterad identitet är det säkraste och rekommenderade alternativet för autentisering i Azure.
Villkorlig åtkomst
Key Vault har stöd för principer för villkorsstyrd åtkomst i Microsoft Entra. Genom att använda principer för villkorsstyrd åtkomst kan du använda rätt åtkomstkontroller för Key Vault när det behövs för att skydda din organisation och hålla dig borta från användaren när det inte behövs.
Privilegierad åtkomst
Auktorisering avgör vilka åtgärder anroparen kan utföra. Auktorisering i Key Vault använder rollbaserad åtkomstkontroll i Azure (Azure RBAC) på hanteringsplan och åtkomstprinciper för Azure RBAC eller Azure Key Vault på dataplanet.
Åtkomsten till valv sker via två gränssnitt eller plan. De här planen är hanteringsplanet och dataplanet.
- Hanteringsplanet är där du hanterar Själva Nyckelvalvet och det är gränssnittet som används för att skapa och ta bort valv. Du kan också läsa nyckelvalvets egenskaper och hantera åtkomstprinciper.
- Med dataplanet kan du arbeta med data som lagras i ett nyckelvalv. Du kan lägga till, ta bort och ändra nycklar, hemligheter och certifikat.
Program får åtkomst till planen via slutpunkter. Åtkomstkontrollerna för de två planen fungerar oberoende av varandra. Om du vill ge ett program åtkomst till att använda nycklar i ett nyckelvalv ger du åtkomst till dataplanet med hjälp av Azure RBAC eller en Key Vault-åtkomstprincip. Om du vill ge en användare läsåtkomst till Key Vault-egenskaper och -taggar, men inte åtkomst till data (nycklar, hemligheter eller certifikat), ger du åtkomst till hanteringsplanet med Azure RBAC.
| Åtkomstplan | Åtkomstslutpunkter | Drift | Mekanism för åtkomstkontroll |
|---|---|---|---|
| Hanteringsplanet | Globalt: management.azure.com:443 Microsoft Azure drivs av 21Vianet: management.chinacloudapi.cn:443 Azure för amerikanska myndigheter: management.usgovcloudapi.net:443 Azure i Tyskland: management.microsoftazure.de:443 |
Skapa, läsa, uppdatera och ta bort nyckelvalv Ange åtkomstprinciper för Key Vault Ange Key Vault-taggar |
Azure RBAC |
| Dataplanet | Globalt: <vault-name>.vault.azure.net:443 Microsoft Azure drivs av 21Vianet: <vault-name>.vault.azure.cn:443 Azure för amerikanska myndigheter: <vault-name>.vault.usgovcloudapi.net:443 Azure i Tyskland: <vault-name>.vault.microsoftazure.de:443 |
Nycklar: kryptera, dekryptera, wrapKey, unwrapKey, signera, verifiera, hämta, lista, skapa, uppdatera, importera, ta bort, återställa, säkerhetskopiera, återställa, rensa, rotera (förhandsversion), getrotationpolicy (förhandsversion), setrotationpolicy (förhandsversion), release(förhandsversion) Certifikat: hantera kontakter, getissuers, lista utfärdare, ange utfärdare, ta bort utfärdare, hantera utfärdare, hämta, lista, skapa, importera, uppdatera, ta bort, återställa, säkerhetskopiera, återställa, rensa Hemligheter: hämta, lista, ange, ta bort, återställa, säkerhetskopiera, återställa, rensa |
Åtkomstprincip för Key Vault eller Azure RBAC |
Hantera administrativ åtkomst till Key Vault
När du skapar ett nyckelvalv i en resursgrupp hanterar du åtkomst med hjälp av Microsoft Entra-ID. Du ger användare eller grupper möjlighet att hantera nyckelvalv i en resursgrupp. Du kan bevilja åtkomst på en specifik omfångsnivå genom att tilldela lämpliga Azure-roller. Om du vill ge åtkomst till en användare för att hantera nyckelvalv tilldelar du en fördefinierad roll för key vault-deltagare till användaren i ett specifikt omfång. Följande omfångsnivåer kan tilldelas till en Azure-roll:
- Prenumeration: En Azure-roll som tilldelats på prenumerationsnivå gäller för alla resursgrupper och resurser i den prenumerationen.
- Resursgrupp: En Azure-roll som tilldelats på resursgruppsnivå gäller för alla resurser i den resursgruppen.
- Specifik resurs: En Azure-roll som tilldelats för en specifik resurs gäller för den resursen. I det här fallet är resursen ett specifikt nyckelvalv.
När du använder behörighetsmodellen Åtkomstprincip kan användaren ge sig själv åtkomst till dataplanet genom att ange en åtkomstprincip för Key Vault om en användare har Contributor behörighet till ett nyckelvalvshanteringsplan. Du bör noga kontrollera vem som har Contributor rollåtkomst till dina nyckelvalv med behörighetsmodellen Åtkomstprincip för att säkerställa att endast behöriga personer kan komma åt och hantera dina nyckelvalv, nycklar, hemligheter och certifikat. Vi rekommenderar att du undviker det här problemet genom att använda den nya behörighetsmodellen RBAC (rollbaserad åtkomstkontroll). Med RBAC som behörighetsmodell är behörighetshanteringen begränsad till rollerna Ägare och Administratör för användaråtkomst, så att du kan dela upp ansvarsområden mellan roller för säkerhetsåtgärder och allmän administration.
Styra åtkomsten till Key Vault-data
Du kan styra åtkomsten till Key Vault-nycklar, certifikat och hemligheter med hjälp av Azure RBAC- eller Key Vault-åtkomstprinciper.
Loggning och övervakning
Key Vault-loggning sparar information om de aktiviteter som utförs i valvet.
Du kan integrera Key Vault med Event Grid för att meddelas när statusen för en nyckel, ett certifikat eller en hemlighet som lagras i nyckelvalvet har ändrats.
Det är också viktigt att övervaka hälsotillståndet för ditt nyckelvalv för att se till att tjänsten fungerar som avsett.
Säkerhetskopiering och återställning
Med skydd mot mjuk borttagning och rensning i Azure Key Vault kan du återställa borttagna valv och valvobjekt.
Du bör också ta regelbundna säkerhetskopieringar av valvet vid uppdatering/borttagning/skapande av objekt i ett valv.