Azure Key Vault 安全建议
本文包含针对 Azure Key Vault 的安全建议。 实施执行建议将有助于你履行我们的共享职责模型中描述的安全职责。 若要详细了解 Microsoft 采取哪些措施来履行服务提供商责任,请阅读云计算的责任分担。
包含在本文中的某些建议可能受 Azure 安全中心的自动监视。 在保护你在 Azure 中的资源方面,Azure 安全中心是第一道防线。 它定期分析 Azure 资源的安全状态,以识别潜在的安全漏洞。 然后向你提供有关如何解决这些安全漏洞的建议。
数据保护
| 建议 |
注释 |
安全中心 |
| 启用软删除 |
启用软删除后,你可以恢复已删除的保管库和保管库对象 |
- |
| 限制对保管库数据的访问 |
遵循最低权限原则,且仅授权组织的部分成员访问保管库数据 |
- |
标识和访问管理
| 建议 |
注释 |
安全中心 |
| 限制拥有参与者访问权限的用户数 |
如果某个用户对 Key Vault 管理平面拥有参与者权限,则该用户可以通过设置 Key Vault 访问策略来授予自己对数据平面的访问权限。 应严格控制对 Key Vault 拥有“参与者”角色访问权限的用户。 确保只有已获授权且有必要进行访问的人员可以访问和管理你的保管库。 |
- |
监视
| 建议 |
注释 |
安全中心 |
| 应启用 Key Vault 中的诊断日志 |
启用日志并将其保留长达一年。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 |
是 |
| 限制谁可以访问 Azure Key Vault 日志 |
Key Vault 日志保存针对保管库执行的活动(例如创建或删除保管库、密钥、机密)的相关信息,这些信息可以在调查过程中使用。 |
- |
网络