本文介绍 Azure 密钥保管库中内置的安全控制。
安全控制是促使 Azure 服务能够防范、检测和响应安全漏洞的一种服务质量或功能。
对于每项控制,我们使用“Yes”或“No”来指示它当前是否用于该服务,对于不适用于该服务的控制为“N/A”。 我们还可能会提供有关属性的更多信息的注释或链接。
网络
| 安全控制 | Yes/No | 说明 |
|---|---|---|
| 服务终结点支持 | 是 | 使用虚拟网络 (VNet) 服务终结点。 |
| VNet 注入支持 | 否 | |
| 网络隔离和防火墙支持 | 是 | 使用 VNet 防火墙规则。 |
| 强制隧道支持 | 否 |
监视和日志记录
| 安全控制 | Yes/No | 说明 |
|---|---|---|
| Azure 监视支持(Log Analytics、App Insights 等) | 是 | 使用 Log Analytics。 |
| 控制/管理平面日志记录和审核 | 是 | 使用 Log Analytics。 |
| 数据平面日志记录和审核 | 是 | 使用 Log Analytics。 |
标识
| 安全控制 | Yes/No | 说明 |
|---|---|---|
| 身份验证 | 是 | 身份验证通过 Microsoft Entra ID 进行。 |
| 授权 | 是 | 使用密钥保管库访问策略。 |
数据保护
| 安全控制 | Yes/No | 说明 |
|---|---|---|
| 服务器端静态加密:Microsoft 管理的密钥 | 是 | 加密所有对象。 |
| 列级加密(Azure 数据服务) | 空值 | |
| 传输中加密(例如 ExpressRoute 加密、VNet 中加密,以及 VNet-VNet 加密) | 是 | 所有通信都通过加密的 API 调用进行 |
| 加密的 API 调用 | 是 | 使用 HTTPS。 |
访问控制
| 安全控制 | Yes/No | 注释 |
|---|---|---|
| 控制/管理平面访问控制 | 是 | Azure Resource Manager 基于角色的访问控制 (RBAC) |
| 数据平面访问控制(在每个服务级别) | 是 | 密钥保管库访问策略 |