Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Key Vault 密钥保护用于加密、数字签名和密钥包装作的加密密钥。 本文提供特定于加密密钥管理的安全建议。
注释
本文重点介绍特定于 Key Vault 密钥的安全做法。 有关全面的 Key Vault 安全指南,包括网络安全、标识和访问管理以及保管库体系结构,请参阅 保护 Azure Key Vault。
密钥类型和保护级别
Azure Key Vault 支持具有不同保护级别的不同密钥类型。 根据安全要求选择适当的密钥类型:
软件保护密钥 (RSA, EC):受 FIPS 140-2 级别 1 验证软件保护的密钥。 适用于需要加密和签名作的大多数应用程序。
受 HSM 保护的密钥(RSA-HSM,EC-HSM):受 FIPS 140-2 级别 2 验证的硬件安全模块(HSM)保护的密钥。 建议在需要硬件支持的密钥保护的高安全性场景中使用。
托管 HSM 密钥:具有 FIPS 140-2 级别 3 验证硬件的专用单租户 HSM 池中的密钥。 为满足最高的安全性和合规性要求。
有关密钥类型的详细信息,请参阅 “关于 Azure Key Vault 密钥”。
密钥用法和相关操作
将密钥操作限制为仅应用程序所需的操作,以最大程度地减少攻击面。
- 限制密钥操作:仅授予必要的权限(加密、解密、签名、验证、密钥封装、密钥解封)
-
使用适当的密钥大小:
- RSA 密钥:对高安全性方案使用 2048 位最低、4096 位
- EC 密钥:根据安全要求使用 P-256、P-384 或 P-521 曲线
- 按目的分隔密钥:使用不同的密钥进行加密和签名作,以限制密钥泄露时的影响
有关密钥操作的详细信息,请参阅 Key Vault 中的密钥操作。
密钥轮换和版本控制
实现常规密钥轮换,以限制泄露的密钥:
- 启用自动密钥轮换:配置自动轮换策略以在不停机的情况下轮换密钥。 请参阅“配置密钥自动调整”
- 设置轮换频率:根据符合性要求,至少每年轮换加密密钥,或更频繁地轮换加密密钥
- 使用密钥版本控制:Key Vault 自动版本控制密钥,允许无缝轮换,而不会中断现有的加密数据
- 规划重新加密:对于长期数据,实施使用新密钥版本重新加密数据的策略
有关轮换的详细信息,请参阅 在 Azure Key Vault 中配置加密密钥自动轮换。
密钥备份和恢复
通过实施适当的备份和恢复过程来保护数据丢失:
- 启用软删除:软删除允许在保留期内恢复已删除的密钥(7-90 天)。 请参阅 Azure Key Vault 软删除概述
- 启用清除保护:防止在保留期内永久删除密钥。 请参阅 清除保护
- 备份关键密钥:导出并安全地存储保护不可替代数据的密钥备份。 请参阅 Azure Key Vault 备份
- 文档恢复过程:维护关键恢复场景的运行手册
创建自己的密钥 (BYOK)
将自己的密钥导入 Key Vault 时,请遵循安全最佳做法:
- 使用安全密钥生成:在 FIPS 140-2 级别 2 或更高版本 HSM 中生成密钥
- 在传输过程中保护密钥:使用 Key Vault 的 BYOK 过程安全地传输密钥。 请参阅 将受 HSM 保护的密钥导入 Key Vault(BYOK)
- 验证密钥导入:在导入后验证密钥属性和权限
- 维护密钥证明:记录导入密钥的起源和传输方法
有关 BYOK 的详细信息,请参阅 导入密钥保管库中的受 HSM 保护的密钥。
密钥发布和证明
对于需要将密钥发布到受信任环境的方案:
- 使用密钥发布策略:配置基于证明的发布策略,以控制何时可以从 Key Vault 释放密钥
- 验证证明:确保在释放密钥之前请求环境提供有效的证明
- 审核密钥释放:监视和记录所有密钥释放操作
有关密钥发布的详细信息,请参阅 Azure Key Vault 密钥版本。
监视和审核
跟踪密钥使用情况以检测未经授权的访问或可疑模式:
- 启用诊断日志记录:记录所有关键作进行安全分析。 请参阅 Azure Key Vault 日志记录
- 监视关键操作:跟踪加密、解密、签名和验证操作,以建立基线使用模式
-
设置警报:配置 Azure Monitor 警报以监控:
- 异常密钥访问模式
- 关键操作失败
- 密钥删除或修改
- 即将过期的密钥
密钥到期时间
适当时设置密钥的过期日期:
- 为临时密钥设置过期时间:用于限时目的的密钥应具有到期日期
- 监视过期密钥:使用事件网格通知在密钥过期之前发出警报。 将 Azure Key Vault 视为事件网格源
- 自动续订密钥:实现自动过程以在过期前轮换密钥
相关安全文章
- 保护 Azure Key Vault - 全面的 Key Vault 安全指南
- 保护 Azure Key Vault 机密 - 机密的安全最佳做法
- 保护 Azure Key Vault 证书 - 证书的安全最佳做法