Azure Key Vault 密钥保护用于加密、数字签名和密钥包装作的加密密钥。 本文提供特定于加密密钥管理的安全建议。
注释
本文重点介绍特定于 Key Vault 密钥的安全做法。 有关全面的 Key Vault 安全指南,包括网络安全、标识和访问管理以及保管库体系结构,请参阅 保护 Azure Key Vault。
密钥类型和保护级别
Azure Key Vault 支持具有不同保护级别的不同密钥类型。 根据安全要求选择适当的密钥类型:
软件保护密钥 (RSA, EC):受 FIPS 140-2 级别 1 验证软件保护的密钥。 适用于需要加密和签名作的大多数应用程序。
受 HSM 保护的密钥(RSA-HSM,EC-HSM):受 FIPS 140-2 级别 2 验证的硬件安全模块(HSM)保护的密钥。 建议在需要硬件支持的密钥保护的高安全性场景中使用。
托管 HSM 密钥:具有 FIPS 140-2 级别 3 验证硬件的专用单租户 HSM 池中的密钥。 为满足最高的安全性和合规性要求。
有关密钥类型的详细信息,请参阅 “关于 Azure Key Vault 密钥”。
密钥用法和相关操作
将密钥操作限制为仅应用程序所需的操作,以最大程度地减少攻击面。
- 限制密钥操作:仅授予必要的权限(加密、解密、签名、验证、密钥封装、密钥解封)
-
使用适当的密钥大小:
- RSA 密钥:对高安全性方案使用 2048 位最低、4096 位
- EC 密钥:根据安全要求使用 P-256、P-384 或 P-521 曲线
- 按目的分隔密钥:使用不同的密钥进行加密和签名作,以限制密钥泄露时的影响
有关密钥操作的详细信息,请参阅 Key Vault 中的密钥操作。
密钥轮换和版本控制
实现常规密钥轮换,以限制泄露的密钥:
- 启用自动密钥轮换:配置自动轮换策略以在不停机的情况下轮换密钥。 请参阅“配置密钥自动调整”
- 设置轮换频率:根据符合性要求,至少每年轮换加密密钥,或更频繁地轮换加密密钥
- 使用密钥版本控制:Key Vault 自动版本控制密钥,允许无缝轮换,而不会中断现有的加密数据
- 规划重新加密:对于长期数据,实施使用新密钥版本重新加密数据的策略
有关轮换的详细信息,请参阅 在 Azure Key Vault 中配置加密密钥自动轮换。
密钥备份和恢复
通过实施适当的备份和恢复过程来保护数据丢失:
- 启用软删除:软删除允许在保留期内恢复已删除的密钥(7-90 天)。 请参阅 Azure Key Vault 软删除概述
- 启用清除保护:防止在保留期内永久删除密钥。 请参阅 清除保护
- 备份关键密钥:导出并安全地存储保护不可替代数据的密钥备份。 请参阅 Azure Key Vault 备份
- 文档恢复过程:维护关键恢复场景的运行手册
创建自己的密钥 (BYOK)
将自己的密钥导入 Key Vault 时,请遵循安全最佳做法:
- 使用安全密钥生成:在 FIPS 140-2 级别 2 或更高版本 HSM 中生成密钥
- 在传输过程中保护密钥:使用 Key Vault 的 BYOK 过程安全地传输密钥。 请参阅 将受 HSM 保护的密钥导入 Key Vault(BYOK)
- 验证密钥导入:在导入后验证密钥属性和权限
- 维护密钥证明:记录导入密钥的起源和传输方法
有关 BYOK 的详细信息,请参阅 导入密钥保管库中的受 HSM 保护的密钥。
密钥发布和证明
对于需要将密钥发布到受信任环境的方案:
- 使用密钥发布策略:配置基于证明的发布策略,以控制何时可以从 Key Vault 释放密钥
- 验证证明:确保在释放密钥之前请求环境提供有效的证明
- 审核密钥释放:监视和记录所有密钥释放操作
有关密钥发布的详细信息,请参阅 Azure Key Vault 密钥版本。
监视和审核
跟踪密钥使用情况以检测未经授权的访问或可疑模式:
- 启用诊断日志记录:记录所有关键作进行安全分析。 请参阅 Azure Key Vault 日志记录
- 监视关键操作:跟踪加密、解密、签名和验证操作,以建立基线使用模式
-
设置警报:配置 Azure Monitor 警报以监控:
- 异常密钥访问模式
- 关键操作失败
- 密钥删除或修改
- 即将过期的密钥
密钥到期时间
适当时设置密钥的过期日期:
- 为临时密钥设置过期时间:用于限时目的的密钥应具有到期日期
- 监视过期密钥:使用事件网格通知在密钥过期之前发出警报。 将 Azure Key Vault 视为事件网格源
- 自动续订密钥:实现自动过程以在过期前轮换密钥
相关安全文章
- 保护 Azure Key Vault - 全面的 Key Vault 安全指南
- 保护 Azure Key Vault 机密 - 机密的安全最佳做法
- 保护 Azure Key Vault 证书 - 证书的安全最佳做法