设计用于管理机密、密钥和证书的解决方案
在 Azure 中,加密密钥可以由平台管理,也可以由客户管理。
平台管理的密钥 (PMK) 是完全由 Azure 生成、存储和管理的加密密钥。 客户不会与 PMK 交互。 例如,用于 Azure 数据静态加密的密钥默认就是 PMK。
另一方面,客户管理的密钥 (CMK) 是可由一个或多个客户读取、创建、删除、更新和/或管理的密钥。 存储在客户拥有的密钥保管库或硬件安全模块 (HSM) 中的密钥是 CMK。 创建自己的密钥 (BYOK) 是一种 CMK 方案,在其中,客户将密钥从外部存储位置导入(引入)Azure 密钥管理服务(请参阅 Azure 密钥保管库:创建自己的密钥规范)。
一种特定类型的客户管理的密钥是“密钥加密密钥”(KEK)。 KEK 是一种主密钥,用于控制对一个或多个本身已加密的加密密钥的访问。
客户管理的密钥可以存储在本地,但更常见的是存储在云密钥管理服务中。
Azure 密钥管理服务
Azure 提供多种用于在云中存储和管理密钥的选项,包括 Azure 密钥保管库、Azure 托管 HSM、专用 HSM 和付款 HSM。 这些选项在 FIPS 合规性级别、管理开销和目标应用方面有所不同。
Azure 密钥保管库(标准层):已通过 FIPS 140-2 第 1 级别验证的多租户云密钥管理服务,也可用于存储机密和证书。 Azure 密钥保管库中存储的密钥受软件保护,可用于静态加密和自定义应用程序。 密钥保管库提供新式 API 和最广泛的区域部署,以及与 Azure 服务的集成。 有关详细信息,请参阅关于 Azure 密钥保管库。
Azure 密钥保管库(高级层):已通过 FIPS 140-2 第 2 级别验证的多租户 HSM 服务,可用于将密钥存储在安全的硬件边界中。 Microsoft 将管理和操作基础 HSM,存储在 Azure 密钥保管库高级层中的密钥可用于静态加密和自定义应用程序。 密钥保管库高级层也提供新式 API 和最广泛的区域部署,以及与 Azure 服务的集成。 有关详细信息,请参阅关于 Azure 密钥保管库。
Azure 托管 HSM:已通过 FIPS 140-2 第 3 级别验证的单租户 HSM 服务,让客户可以完全控制用于静态加密、无密钥 SSL 和自定义应用程序的 HSM。 客户会收到由三个 HSM 分区组成的池,这些分区共同充当一个高度可用的逻辑 HSM 设备。该池的前面有一个通过密钥保管库 API 公开加密功能的服务。 Microsoft 将处理 HSM 的预配、修补、维护和硬件故障转移,但无权访问密钥本身,因为该服务在 Azure 的机密计算基础结构中执行。 托管 HSM 与 Azure SQL、Azure 存储和 Azure 信息保护 PaaS 服务集成,通过 F5 和 Nginx 提供对无密钥 TLS 的支持。 有关详细信息,请参阅什么是 Azure 密钥保管库托管 HSM?
Azure 专用 HSM:已通过 FIPS 140-2 第 3 级别验证的裸机 HSM 服务,让客户可以租用驻留在 Microsoft 数据中心的某个常规用途 HSM 设备。 该 HSM 设备的整个所有权完全归属于客户,但客户需要负责按需修补和更新固件。 Microsoft 对该设备不拥有任何权限,也无权访问密钥材料,并且专用 HSM 不与任何 Azure PaaS 产品/服务集成。 客户可以使用 PKCS#11、JCE/JCA 和 KSP/CNG API 来与 HSM 交互。 此服务最适合用于传统的直接迁移工作负载、PKI、SSL 卸载和无密钥 TLS(支持的集成包括 F5、Nginx、Apache、Palo Alto、IBM GW 等)、OpenSSL 应用程序、Oracle TDE 和 Azure SQL TDE IaaS。 有关详细信息,请参阅什么是 Azure 密钥保管库托管 HSM?
Azure 付款 HSM:已通过 FIPS 140-2 第 3 级、PCI HSM v3 验证的裸机服务,让客户可以在 Microsoft 数据中心租用一个付款 HSM 设备用于支付操作,包括支付处理、支付凭据颁发、密钥和身份验证数据保护,以及敏感数据保护。 服务符合 PCI DSS 和 PCI 3DS 标准。 Azure 付款 HSM 提供单租户 HSM,客户拥有完全管理控制权,并对该 HSM 拥有独占访问权限。 将 HSM 分配给客户后,Microsoft 无权访问客户数据。 同样,在不再需要 HSM 时,客户数据将在解除 HSM 后立即归零并擦除,以确保全面保持数据的隐私性和安全性。 有关详细信息,请参阅关于 Azure 付款 HSM。
有关密钥保管库中可使用的机密、密钥和证书类型的概述,请参阅 Azure Key Vault 密钥、机密和证书概述
使用 Key Vault 的最佳做法
使用单独的密钥保管库
我们的建议是在每个区域中,对每个环境(开发环境、预生产环境和生产环境)的每个应用程序使用一个保管库。 这有助于防止跨环境和区域共享机密。 它还会在发生入侵时降低威胁。
为何建议使用单独的密钥保管库
密钥保管库为存储的机密定义安全边界。 将机密分组到同一保管库会增加安全事件的冲击半径,因为攻击可能能够跨关注点访问机密。 若要缓解跨关注点访问机密这一情况,请考虑特定应用程序应有权访问哪些机密,然后根据此描述分离密钥保管库。 按应用程序分离密钥保管库是最常见的边界。 但是,对于大型应用程序(例如,每组相关服务),安全边界可能更为精细。
控制对保管库的访问权限
加密密钥和机密(例如证书、连接字符串和密码)是敏感的业务关键型信息。 你需要保护对密钥保管库的访问,方式是仅允许已经授权的应用程序和用户进行访问。 Azure 密钥保管库安全功能提供密钥保管库访问模型的概述。 它介绍了身份验证和授权。 还介绍了如何保护对密钥保管库的访问。
控制对保管库的访问权限的建议如下:
- 锁定对订阅、资源组和密钥保管库的访问权限(基于角色的访问控制 (RBAC))。
- 为每个保管库创建访问策略。
- 使用最低特权原则来授予访问权限。
- 启用防火墙和虚拟网络服务终结点。
为保管库启用数据保护
启用清除保护以防止恶意或意外删除机密和密钥保管库,即使启用了软删除也应启用此功能。
有关详细信息,请参阅 Azure 密钥保管库软删除概述
启用日志
备份
清除保护可防止恶意和意外删除保管库对象,最长可达 90 天。 在清除保护不可行的情况下,建议备份保管库对象,这些对象无法从保管库中生成的加密密钥等其他来源重新创建。
有关备份的详细信息,请参阅 Azure Key Vault 备份和还原
多租户解决方案和 Key Vault
多租户解决方案基于体系结构构建,其中组件可用于为多个客户或租户提供服务。 多租户解决方案通常用于支持软件即服务 (SaaS) 解决方案。 如果要构建包含 Key Vault 的多租户解决方案,请查看多租户和 Azure Key Vault。