确保 Azure 托管 HSM 部署的安全性

Azure Key Vault 托管的 HSM 是一个基于云的硬件安全模块，用于保护加密密钥。 由于托管 HSM 通常用于保护高度敏感或业务关键型数据，因此保护对 HSM 的访问、根据安全最佳做法对其进行配置以及监视威胁至关重要。

本文提供有关如何最好地保护 Azure Key Vault 托管 HSM 部署的指导。

网络安全

网络安全包括使用安全的网络连接、专用终结点和网络访问控制来保护托管 HSM。 这有助于减少 HSM 对公共网络的暴露，并确保仅允许经过授权的流量通过。

• 使用 Azure 专用链接部署专用终结点：使用专用终结点建立与托管 HSM 实例的专用安全连接，防止公开公共 Internet，并减少攻击途径。 有关详细信息，请参阅 将托管 HSM 与 Azure 专用链接集成。

• 禁用公用网络访问：通过在托管 HSM 配置中禁用公用网络访问，防止从公共 IP 地址访问服务。 有关详细信息，请参阅 将托管 HSM 与 Azure 专用链接集成。

标识管理

标识管理专注于保障身份验证和身份访问安全，以保护您的托管 HSM 资源。 Microsoft Entra 提供了一个集中式标识解决方案，用于管理对 HSM 管理和数据平面的访问。

• 要求对数据平面访问进行Microsoft Entra身份验证：默认情况下，Microsoft Entra用于在托管HSM中对数据平面进行身份验证，从而实现集中和安全的身份控制。 有关详细信息，请参阅 Microsoft Entra 身份验证。

• 使用托管标识进行安全应用程序访问：默认启用托管标识，允许应用程序在不存储凭据的情况下向托管 HSM 进行身份验证。 有关详细信息，请参阅 Microsoft Entra 托管标识。

• 适当时使用服务主体进行身份验证：使用服务主体实现自动化方案和基于工作负荷的访问。 有关详细信息，请参阅 托管 HSM 角色管理。

• 使用条件访问策略来控制访问：在 Microsoft Entra 中定义条件访问策略，以根据用户风险、位置或设备符合性等条件限制访问。 有关详细信息，请参阅 条件访问。

• 使用安全组进行管理访问：将 HSM 管理员角色分配给 Microsoft Entra 安全组 而不是单个用户。 这可以降低删除用户帐户时意外锁定的风险。 有关指南，请参阅 托管 HSM 的访问控制。

特权访问

特权访问强调保护管理操作，并实施最小特权原则，以减少未经授权或过度权限的风险。

• 锁定对订阅和资源组的访问权限：使用 Azure RBAC 控制管理组、订阅和资源组级别的管理访问权限。 有关指南，请参阅 Azure RBAC 概述。

• 分配角色时使用最低特权访问原则：仅授予所需的最低权限集。 定期查看角色分配。 有关详细信息，请参阅 托管 HSM 角色管理。

• 避免将多个角色分配到同一标识：通过确保没有为单个用户或标识分配冲突角色来保持职责分离。 有关详细信息，请参阅 托管 HSM 的访问控制。

• 使用精确权限创建自定义角色：定义自定义角色以满足特定访问要求，同时维护安全权限集。 有关详细信息，请参阅 托管 HSM 的访问控制。

• 使用本地 RBAC 创建每密钥角色分配：使用托管 HSM 的本地 RBAC 模型来控制单个密钥级别的访问。 有关详细信息，请参阅 管理 HSM 本地 RBAC。

• 为管理角色启用 Privileged Identity Management（PIM）：使用 Microsoft Entra Privileged Identity Management 强制实施实时访问并降低长期管理特权的风险。 有关详细信息，请参阅 托管 HSM 的访问控制：Privileged Identity Management。

日志记录和威胁检测

日志记录和威胁检测有助于监视托管 HSM 上的访问和作，使你能够检测可疑活动并确保符合安全策略。

• 启用审核日志记录：配置诊断设置，为托管 HSM 启用审核日志记录。 日志捕获所有经过身份验证的 REST API 请求、密钥操作和安全域操作。 日志可以发送到 Azure 存储帐户、Log Analytics 工作区或事件中心。 有关详细信息，请参阅 托管 HSM 日志记录。

• 使用 Azure Monitor 分析日志：使用 Azure Monitor 从托管 HSM 收集和分析日志。 可以使用 Log Analytics 查询日志，并在仪表板或工作簿中可视化。 如需了解更多信息，请参阅 监视 Azure 托管 HSM。

• 保留符合性和调查的日志：确保日志在适当的持续时间内保留，以满足合规性要求和支持取证调查。 使用 Azure Monitor Log Analytics 保留策略来管理日志存储。 有关详细信息，请参阅 Azure Monitor 中的日志保留。

• 为关键事件设置警报：配置警报以通知关键事件，例如访问尝试失败或异常活动。 使用 Azure Monitor 基于指标或日志查询创建静态或动态警报规则。 有关详细信息，请参阅 “配置托管 HSM 警报”。

• 与 Microsoft Sentinel 集成：使用 Microsoft Sentinel 检测和响应潜在威胁。 设置 Microsoft Sentinel 来监视托管 HSM 日志，并为敏感操作创建自定义分析规则。 有关详细信息，请参阅 为 Azure 托管 HSM 设置 Microsoft Sentinel。

备份和恢复

备份和恢复通过确保适当的备份和保留策略来帮助防止意外或恶意数据丢失。

• 创建常规 HSM 和密钥级备份：计划 HSM 和单个密钥的备份以防止数据丢失。 有关详细信息，请参阅 完整备份和还原。

• 准备灾难恢复：遵循灾难恢复流程，以便在发生严重故障时复制硬件安全模块（HSM）。 确保具有安全域、私钥和最新备份来还原 HSM。 有关详细信息，请参阅 灾难恢复指南。

• 启用清除保护：启用清除保护以防止在保留期到期之前永久删除 HSM 或其密钥。 有关详细信息，请参阅 软删除概述。

• 保留软删除的资源：默认启用软删除。 选择 7 到 90 天的保留期，在此期间可以恢复已删除的项目。 有关详细信息，请参阅 软删除概述。

• 保护安全域以防止加密锁定：遵循管理安全域及其密钥的最佳做法，确保业务连续性并防止未经授权的访问。 有关详细信息，请参阅 安全域概述。

安全态势和漏洞管理

状况和漏洞管理提供了有关如何使用策略强制工具在整个环境中维护安全合规性的指导。

• 使用 Azure Policy 强制实施配置符合性：定义并应用 Azure Policy 规则来审核或阻止不安全的配置。 有关详细信息，请参阅 将 Azure 托管 HSM 与 Azure Policy 集成。

后续步骤

• 与 Azure 专用链接集成
• 访问控制
• 本地 RBAC 内置角色
• 与 Azure Policy 集成
• 安全域概述
• Azure 安全基础知识