你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 中的加密和密钥管理

加密是确保 Microsoft Azure 中的数据隐私、合规性和数据驻留的关键步骤。 它也是许多企业最重要的安全问题之一。 本部分介绍加密和密钥管理的设计注意事项和建议。

设计注意事项

• 设置应用于 Azure Key Vault 的订阅和规模限制。

  Key Vault 对密钥和机密具有事务限制。 若要在特定时间段内限制事务（针对每个保管库），请参阅 Azure 限制。

  Key Vault 提供安全边界，因为密钥、机密和证书的访问权限处于保管库级别。 Key Vault 访问策略分配单独授予对密钥、机密或证书的权限。 这些分配不支持精细的对象级别访问权限，例如特定的密钥、机密或证书密钥管理。

• 根据需要隔离特定于应用程序和特定于工作负载的机密和共享机密，以便控制访问。

• 优化高级 SKU，其中需要受 HSM 保护的（硬件安全模块）密钥。

  基础 HSM 符合 FIPS 140-2 级别 2。 通过考虑支持的方案，对 Azure 专用的 HSM 进行管理以符合 FIPS 140-2 级别 3 的标准。

• 管理密钥轮换和机密过期。

• 使用 Key Vault 证书来管理证书采购和签名。 设置警报、通知和证书自动续订。

• 设置密钥、证书和机密的灾难恢复要求。

• 设置 Key Vault 服务复制和故障转移功能。 设置可用性和冗余。

• 监视密钥、证书和机密使用情况。

  使用密钥保管库或 Azure Monitor Log Analytics 工作区来检测未经授权的访问。 有关详细信息，请参阅 Azure Key Vault 的监视和警报。

• 委托 Key Vault 实例化和特权访问。 有关详细信息，请参阅 Azure Key Vault 安全性。

• 设置将客户管理的密钥用于本机加密机制（例如 Azure 存储加密）的要求：

  • 客户管理的密钥
  • 虚拟机 (VM) 的全盘加密
  • 传输中数据加密
  • 静态数据加密

设计建议

• 使用联合 Azure Key Vault 模型避免事务规模限制。

• Azure RBAC 是 Azure Key Vault 数据平面的推荐授权系统。 有关详细信息，请参阅 Azure 基于角色的访问控制（Azure RBAC）与访问策略（旧版）。

• 在启用了软删除和清除策略的情况下预配 Azure Key Vault，从而允许对已删除对象进行保留保护。

• 通过将授权限制为永久删除密钥、机密和证书的专用自定义 Microsoft Entra 角色来遵循最低特权模型。

• 使用公共证书颁发机构自动执行证书管理和续订过程，以简化管理。

• 建立密钥和证书轮换的自动化过程。

• 启用保管库上的防火墙和虚拟网络服务终结点，以便控制对密钥保管库的访问。

• 使用以平台为中心的 Azure Monitor Log Analytics 工作区来审核每个 Key Vault 实例中的密钥、证书和机密使用情况。

• 委托 Key Vault 实例化和特权访问，并使用 Azure 策略强制执行一致的合规性配置。

• 默认对主体加密功能使用 Microsoft 托管密钥，并在需要时使用客户管理的密钥。

• 请不要对应用程序密钥或机密使用 Key Vault 的集中式实例。

• 若要避免在不同环境之间进行机密共享，请不要在应用程序之间共享 Key Vault 实例。