Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure托管 HSM 是完全托管的、高度可用的单租户硬件安全模块(HSM)服务,为云应用程序提供 FIPS 140-3 级别 3 验证的加密密钥保护。 由于托管 HSM 可保护最敏感的加密密钥和机密,因此实施全面的安全控制对于防范威胁和维护业务连续性至关重要。
本文提供安全建议来帮助保护Azure托管 HSM 部署。
网络安全
网络安全通过安全连接和网络访问控制来保护您的托管的 HSM。 这些网络安全功能从限制最多的功能到限制最少的功能依次列出。 选择最适合组织用例的配置。 有关所有网络安全配置的详细信息,请参阅 Azure Key Vault 托管 HSM 的网络安全性。
禁用公用网络访问,仅使用专用终结点:通过在虚拟网络中创建专用终结点来部署 Azure Private Link,以建立与托管 HSM 实例的专用安全连接。 禁用公用网络访问是通过将托管 HSM 配置为拒绝公共网络访问来防止对公共 IP 地址的访问。 这可以防止接入公用互联网,并将所有流量通过 Microsoft 的主干网络进行路由。 请参阅 将托管 HSM 与 Azure Private Link 集成。
配置托管 HSM 防火墙与受信任的服务:配置托管 HSM 防火墙规则以拒绝公共互联网访问,同时根据需要允许特定受信任的 Azure 服务通过
--bypass AzureServices设置。 这会限制攻击面,同时维护必要的服务集成。 有关完整详细信息,请参阅网络安全:已启用托管 HSM 防火墙(受信任服务)。启用 IP 网络防火墙:当网络方案需要受控的公共访问时,将访问限制为公共静态 IP 地址。 有关完整详细信息,请参阅“网络安全:托管 HSM 防火墙已启用”(IP 网络防火墙)。
有关分步配置说明,请参阅如何配置Azure托管 HSM 网络设置。
身份和访问管理
身份和访问管理可保护对托管 HSM 资源的身份验证和授权。 托管硬件安全模块(HSM)使用具有不同的授权系统的双层访问模型来执行控制层和数据层的操作。
实现用于数据平面的托管 HSM 本地 RBAC 访问:使用托管 HSM 本地 RBAC 控制对 HSM 中的密钥和加密操作的访问。 此授权系统独立于 Azure RBAC 运行,并为密钥作、角色分配和安全域管理提供精细权限。 请参阅托管 HSM 的访问控制。
为应用程序访问启用托管标识:为应用程序配置系统分配的托管标识或用户分配的托管标识,以对托管 HSM 进行身份验证,而无需将凭据存储在代码或配置文件中。 托管标识与Microsoft Entra ID集成,并自动处理凭据轮换。 请参阅托管 HSM 的 访问控制。
具有适当作用域的最小特权access:为特定密钥access授予最严格的范围(
/或/keysaccess)的权限(/keys/<key-name>)。 使用内置角色,例如托管 HSM 密码管理员、托管 HSM 密码用户或托管 HSM 密码审计员,具体取决于所需操作。 请参阅托管 HSM 的 访问控制。将 HSM 管理员角色分配给安全组:将 HSM 管理员角色授予 Microsoft Entra 安全组,而非单个用户,以防止删除用户帐户时意外锁定。 此方法简化了权限管理,并确保在 HSM 配置过程中管理访问的连续性。 请参阅托管 HSM 的访问控制。
为管理角色启用 Privileged Identity Management:使用 Microsoft Entra Privileged Identity Management (PIM) 为托管 HSM 管理员等高特权角色强制实施及时访问。 PIM 可降低静态管理权限的风险,并为提升访问权限提供审批工作流。 请参阅 托管 HSM 的访问控制。
分离控制平面和数据平面访问:了解用于管理 HSM 资源的控制平面访问(Azure RBAC)不会向密钥授予数据平面访问。 通过托管 HSM 本地 RBAC 向需要执行密钥操作的用户显式分配数据平面角色。 请参阅托管 HSM 的访问控制。
数据保护
数据保护利用加密、密钥管理策略和安全存储做法保护存储在托管 HSM 中的加密密钥和敏感数据。 适当的数据保护可确保密钥材料保持机密性和防篡改性。
为安全域实施多人控制:配置具有多个 RSA 密钥对(建议至少使用 3 个)的安全域仲裁,以防止单人对 HSM 恢复的控制。 指定一个仲裁阈值,该阈值要求多个密钥持有者共同协作进行安全域解密,确保没有单个个体能够危及 HSM。 请参阅 安全域概览。
将安全域密钥脱机存储在安全位置:将安全域私钥保存在加密、脱机存储设备(例如加密的 USB 驱动器)中,并放置在不同地理位置的物理保险箱或锁箱内。 切勿在连接 Internet 的计算机上存储安全域密钥,以减少网络威胁的暴露,并确保空中安全。 请参阅 安全域概述。
建立安全域密钥管理过程:实施策略,以便在发生人员更改或密钥可能泄露时定期审查安全域密钥保管。 文件安全领域持有者的职责,包括维护密钥位置和保管的准确记录,并确保可以在灾难恢复方案中召集法定人数。 请参阅 安全领域概述。
为 HSM 和密钥启用清除保护:配置清除保护,以防止在保留期到期之前永久删除 HSM 或单个密钥。 此控制可防范意外或恶意删除,并为关键作提供恢复窗口。 请参阅 软删除概述。
配置适当的软删除保留期:根据恢复要求和符合性需求设置 7 到 90 天的软删除保留期。 更长的保留期提供更多的恢复时间,但可能与数据驻留要求冲突。 请参阅 Soft-delete 概述。
日志记录和监控
日志记录和监控提供 HSM 访问模式和操作的可见性,从而支持威胁检测和合规性报告。 全面的日志记录有助于识别可疑活动并支持取证调查。
使用诊断设置启用审核日志记录:配置诊断设置,以捕获并存储在 AzureDiagnostics 表中的所有经过身份验证的 REST API 请求、密钥操作和安全域操作。 根据保留和分析要求,将日志路由到Azure Storage帐户、Log Analytics 工作区或事件中心。 请参阅 Managed HSM 日志记录。
使用 Azure Monitor 和 Log Analytics 分析日志:使用 Azure Monitor 通过 KQL 查询筛选,ResourceProvider 为 "MICROSOFT.KEYVAULT" 和 ResourceType 为 "MANAGEDHSMS",来收集和分析 HSM 日志。 为安全运营团队创建自定义仪表板和工作簿,以监视access模式和密钥使用情况。 请参阅 监控 Azure 托管 HSM。
为关键安全事件配置警报:为如 HSM 可用性下降到低于 100%、服务 API 延迟超过阈值、异常错误代码模式或身份验证尝试失败等事件创建 Azure 监视警报规则。 配置静态阈值和动态阈值警报,以减少误报,同时保持安全可见性。 请参阅 配置托管 HSM 警报。
使用 Microsoft Sentinel 进行高级威胁检测:部署 Microsoft Sentinel,利用特定于托管HSM操作的机器学习分析和自定义检测规则,自动检测可疑活动。 为诸如安全域下载、批量密钥操作或异常访问模式这样的敏感操作创建分析规则。 请参阅 配置 Microsoft Sentinel 用于 Azure 托管 HSM。
实施适当的日志保留策略:建立满足合规性要求并支持取证调查的日志保留期。 使用 Azure Monitor 的 Log Analytics 保留策略来管理存储成本,同时为安全事件维护足够的调查能力。 请参阅 Monitor Azure 托管 HSM。
合规性和治理
合规性和治理控制可确保托管 HSM 部署通过自动化策略实施和合规性监视来满足法规要求和组织策略。
实施 Azure Policy 进行关键治理:将“托管 HSM 加密审核员”角色授予“Azure 托管 HSM 密钥治理服务”(应用 ID:a1b76039-a76c-499f-a2dd-846b4cc32627),以启用 Azure Policy 合规性扫描,然后定义策略规则来审核或强制执行安全密钥配置,包括密钥过期要求、最小 RSA 密钥大小以及椭圆曲线算法的限制。 如果没有此角色分配,Azure Policy无法评估完整的密钥清单。 请参阅 将 Azure 托管 HSM 集成到 Azure Policy 中。
配置密钥生命周期和加密标准:使用内置Azure Policy定义强制实施密钥过期日期,强制实施最低 RSA 密钥大小以确保安全符合性,将椭圆曲线加密限制为批准的曲线名称(P-256K、P-256K、P-384、P-521),并确保密钥在轮换过程过期前有足够的时间。 请参阅 将 Azure 托管 HSM 与 Azure Policy 集成。
通过 Azure Policy 仪表板监控合规性:使用 Azure Policy 合规性仪表板来跟踪对加密安全标准的遵循情况,并识别需纠正的不合规密钥。 设置审核策略和拒绝策略的作用,以提供安全基线的可见性和强制实施。 请参阅 将 Azure 托管 HSM 与 Azure Policy 集成。
备份和恢复
备份和恢复可防范数据丢失,并通过适当的备份策略、灾难恢复过程和恢复测试实现业务连续性,以确保加密密钥保持可访问性。
创建常规的完整 HSM 备份:计划自动完整 HSM 备份,其中包括所有密钥、版本、属性、标记和角色分配,以防止硬件故障或作事件数据丢失。 使用用户分配的托管身份进行备份操作,以启用无需凭据管理的安全访问存储帐户。 请参阅 完整备份和还原。
为关键密钥实现单个密钥级备份:使用
az keyvault key backup命令创建高价值密钥的选择性备份,以实现精细恢复,而无需执行完整的 HSM 还原作。 密钥备份经过加密并加密绑定到安全域,这意味着只能还原到共享同一安全域的 HSM。 请参阅 完整备份和还原。准备全面的灾难恢复过程:开发和测试灾难恢复计划,其中包括使用 RSA 密钥对、备份还原过程和应用程序重新配置步骤的安全域恢复。 确保您可以安全脱机访问安全域文件、私钥(最低份额),并保留存储在地理位置不同的地点的最新备份。 请参阅 灾难恢复指南。
定期测试备份和还原过程:使用非生产 HSM 实例定期执行灾难恢复演练,以验证安全域恢复、备份还原和完整的灾难恢复工作流。 测试可确保安全域仲裁持有者能够成功执行恢复操作并且验证备份完整性。 请参阅 灾难恢复指南。
具有适当访问控制措施的安全备份存储:将 HSM 备份存储在配置有适当 RBAC 权限、专用终结点和客户管理加密密钥的 Azure存储账户中。 使用存储 Blob 数据贡献者角色配置用户分配的托管标识,并实施备份保留策略,以平衡恢复要求与存储成本。 请参阅 完整备份和还原。
特定于服务的安全性
特定于服务的安全性解决了托管 HSM 的独特特征,包括硬件级保护、FIPS 合规性和专用加密操作,这些特征使其与其他 Azure 服务区分开来。
利用 FIPS 140-3 级别 3 硬件验证:采用托管 HSM 的通过 FIPS 140-3 级别 3 验证的硬件安全模块,这些模块通过基于硬件的密钥隔离提供防篡改的、高熵加密处理。 这提供了Azure中可用的最高级别的密钥保护。 请参阅 什么是Azure托管 HSM?。
实现自带密钥(BYOK),以实现法规符合性:当法规要求要求特定的密钥生成过程时,使用 BYOK 从本地 HSM 导入受 HSM 保护的密钥。 BYOK 确保在传输过程中,密钥永远不会以纯文本形式存在于 HSM 边界之外。 请参阅 什么是Azure托管 HSM?。
对敏感工作负荷利用单租户隔离:利用托管 HSM 的单租户体系结构,其中每个 HSM 实例专用于单个客户,并通过特定于客户的安全域进行加密隔离。 这种解决方案比多租户密钥库解决方案提供更强的隔离。 请参阅 什么是Azure托管 HSM?。
实现适当的密钥证明过程:使用密钥证明功能来证明密钥是在 FIPS 140-3 级别 3 硬件边界内生成和处理的。 密钥认证为高可信方案提供密钥来源的加密证明。 请参阅 密钥认证。
配置跨区域复制以实现业务连续性:启用多区域复制,以便将托管 HSM 从主要区域扩展到扩展区域,从而通过自动复制提供主动-主动部署。 这两个区域都可以为请求提供服务,流量管理器会将请求路由到最近的可用区域,将 SLA 增加到 99.99% 组合。 请参阅 多区域复制。
后续步骤
- Azure Key Vault 托管 HSM 的网络安全性
- 如何配置Azure托管 HSM 网络设置
- 与 Azure Private Link 集成
- Access control
- 托管 HSM 本地 RBAC 内置角色
- 与 Azure Policy 集成
- 安全域概述
- Azure安全基础知识