Azure Key Vault 保护云中的加密密钥、证书(以及与证书关联的私钥)和机密(例如连接字符串和密码)。 存储敏感数据和业务关键型数据时,必须采取措施以最大限度提高保管库及其中存储的数据的安全性。
本文提供了有助于保护 Azure Key Vault 部署的安全建议。
特定于服务的安全性
Azure Key Vault 具有与保管库体系结构相关的独特安全注意事项,以及合理使用服务来存储加密资料。
Key Vault 体系结构
分别为每个应用程序、区域和环境使用一个 Key Vault:为开发环境、预生产环境和生产环境创建单独的 Key Vault,以减少违规的影响。
密钥保管库为存储的机密定义安全边界。 将机密分组到同一保管库会增加安全事件的冲击半径,因为攻击可能能够跨关注点访问机密。 若要缓解跨关注点访问机密这一情况,请考虑特定应用程序应有权访问哪些机密,然后根据此描述分离密钥保管库。 将密钥保管库按应用程序分离是最常见的界限。 但是,对于大型应用程序(例如,每组相关服务),安全边界可能更为精细。
在多租户解决方案中为每个租户使用一个 Key Vault:对于多租户 SaaS 解决方案,请为每个租户使用单独的 Key Vault 来维护数据隔离。 有关更多详细信息,请参阅多租户和 Azure Key Vault。
Key Vault 中的对象存储
不要将 Key Vault 用作数据存储来存储客户配置或服务配置:服务应使用 Azure 存储和静态加密或 Azure 配置管理器。 在此类场景中,存储性能更高。
不要将(客户或服务拥有的)证书存储为机密:服务拥有的证书应存储为 Key Vault 证书,并配置为自动轮换。 有关详细信息,请参阅 Azure 密钥保管库:证书。
网络安全
减少网络暴露对于保护 Azure Key Vault 免受未经授权的访问至关重要。 根据组织的要求和用例配置网络限制。
这些网络安全功能从限制最多的功能到限制最少的功能依次列出。 选择最适合组织用例的配置。
禁用公用网络访问并仅使用专用终结点:部署 Azure 专用链接以建立从虚拟网络到 Azure Key Vault 的专用接入点,并防止对公共 Internet 公开。 有关实施步骤,请参阅将 Key Vault 与 Azure 专用链接集成。
- 某些客户方案要求受信任的 Azure 服务绕过防火墙,在这种情况下,可能需要将保管库配置为允许受信任的 Azure 服务。 有关详细信息,请参阅网络安全:已启用 Key Vault 防火墙(仅限受信任的服务)。
启用 Key Vault 防火墙:限制对公共静态 IP 地址或虚拟网络的访问。 有关完整的详细信息,请参阅 Key Vault 网络安全:防火墙设置。
- 某些客户方案要求受信任的 Azure 服务绕过防火墙,在这种情况下,可能需要将保管库配置为允许受信任的 Azure 服务。
使用网络安全外围:为部署在组织的虚拟网络外围和/或公共静态 IP 地址外部的 PaaS 资源(例如 Azure Key Vault、Azure 存储和 SQL 数据库)定义逻辑网络隔离边界。 有关完整详细信息,请参阅 网络安全:网络安全防护范围
- “publicNetworkAccess”:“SecuredByPerimeter”改写了“允许受信任的 Azure 服务绕过防火墙的选项”,这意味着某些需要信任的方案将不起作用。
TLS 和 HTTPS
Azure Key Vault 支持 TLS 1.2 和 1.3 协议版本,以确保客户端和服务之间的安全通信。
- 强制实施 TLS 版本控制:Key Vault 前端(数据平面)是来自不同客户的密钥保管库可以共享同一公共 IP 地址的多租户服务器。 为了实现隔离,每个 HTTP 请求都经过身份验证并独立授权。 HTTPS 协议允许客户端参与 TLS 协商,客户端可以强制实施 TLS 版本,以确保整个连接使用相应的保护级别。 有关用于监视客户端使用的 TLS 版本的示例 Kusto 查询,请参阅 Key Vault 日志记录 。
标识和访问管理
启用托管标识:对所有与 Azure Key Vault 的应用和服务连接使用 Azure 托管标识来消除硬编码凭据。 托管标识有助于保护身份验证,同时不再需要显式凭据。 有关身份验证方法和方案,请参阅 Azure Key Vault 身份验证。
使用基于角色的访问控制:使用 Azure 基于角色的访问控制 (RBAC) 来管理对 Azure Key Vault 的访问。 有关详细信息,请参阅用于 Key Vault 数据平面操作的 Azure RBAC。
- 请勿使用旧访问策略:旧访问策略具有已知的安全漏洞,并且缺少对 Privileged Identity Management(PIM)的支持,不应用于关键数据和工作负载。 Azure RBAC 可缓解未经授权的潜在 Key Vault 访问风险。 请参阅 Azure 基于角色的访问控制 (Azure RBAC) 与访问策略(传统方法)。
重要
RBAC 权限模型允许保管库级别的角色分配以实现持久访问,并为特权操作提供合格(JIT)分配。 对象范围分配仅支持读取操作;而管理操作(例如:网络访问控制、监视和对象管理)需要保管库级别的权限。 若要跨应用程序团队进行安全隔离,请为每个应用程序使用一个 Key Vault。
分配实时(JIT)特权角色:使用 Azure Privileged Identity Management (PIM)为 Key Vault 的管理员和操作员分配符合条件的 JIT Azure RBAC 角色。 请参阅 Privileged Identity Management (PIM) 概述了解详细信息。
- 要求批准特权角色激活:添加额外的一层安全保护,确保至少需要一个审批者来激活 JIT 角色,以防止未经授权的访问。 请参阅在 Privileged Identity Management 中配置 Microsoft Entra 角色设置。
- 为角色激活强制执行多重身份验证:要求进行多重身份验证,为操作员和管理员激活 JIT 角色。 请参阅 Microsoft Entra 多重身份验证。
启用 Microsoft Entra 条件访问策略:Key Vault 支持 Microsoft Entra 条件访问策略,根据用户位置或设备等条件应用访问控制。 有关详细信息,请参阅条件访问概述。
应用最小特权原则:限制具有管理角色的用户数,并确保仅向用户授予其角色所需的最低权限。 请参阅使用最小特权原则增强安全性
数据保护
保护 Azure Key Vault 中存储的数据需要启用软删除、清除保护并实现加密材料的自动轮换。
启用软删除:确保启用软删除,以便在 7 到 90 天的保持期内恢复已删除的 Key Vault 对象。 请参阅 Azure Key Vault 软删除概述。
启用清除保护:启用清除保护,防止在启用软删除后,Key Vault 对象被意外或恶意删除。 请参阅 Azure Key Vault 软删除概述:清除保护
为加密资产实现自动轮换:配置密钥、机密和证书的自动轮换,以最大程度地降低泄露风险并确保符合安全策略。 定期轮换加密材料是一种关键的安全做法。 请参阅配置密钥自动轮换、配置证书自动轮换、自动化机密轮换资源,使用一组身份验证凭据,以及自动化机密轮换资源,使用两组身份验证凭据。
日志记录和威胁检测
全面的日志记录和监视功能可检测可疑活动和符合审核要求。
启用审核日志:Key Vault 日志记录保存有关对保管库执行的操作的信息。 有关完整详细信息,请参阅 Key Vault 日志记录。
启用 Microsoft Defender for Key Vault:启用 Microsoft Defender for Key Vault 以监视可疑活动并发出警报。 有关详细信息,请参阅 Microsoft Defender for Key Vault 简介。
为安全事件启用日志警报:设置警报,以便在记录关键事件(如访问失败或机密删除)时发出通知。 请参阅 Azure Key Vault 的监视和警报。
监视和警报:将 Key Vault 与事件网格集成,以接收有关密钥、证书或机密更改的通知。 有关详细信息,请参阅通过 Azure 事件网格监视 Key Vault。
备份和恢复
为 Azure Key Vault 启用本机备份:配置并使用 Azure Key Vault 本机备份功能来备份机密、密钥和证书,从而确保可恢复性。 请参阅 Azure Key Vault 备份。
确保备份无法重新创建的机密:备份无法从其他源重新创建的 Key Vault 对象(例如加密密钥)。 请参阅 Azure Key Vault 备份。
测试备份和恢复过程:若要验证备份过程的有效性,请定期测试 Key Vault 机密、密钥和证书的恢复效果。 请参阅 Azure Key Vault 备份。