Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Key Vault clés protègent les clés de chiffrement utilisées pour les opérations de chiffrement, de signatures numériques et d’habillage de clé. Cet article fournit des recommandations de sécurité spécifiques à la gestion des clés de chiffrement.
Note
Cet article se concentre sur les pratiques de sécurité spécifiques aux clés Key Vault. Pour obtenir des conseils de sécurité complets Key Vault, notamment la sécurité réseau, la gestion des identités et des accès et l’architecture du coffre, consultez Secure your Azure Key Vault.
Types de clés et niveaux de protection
Azure Key Vault prend en charge différents types de clés avec différents niveaux de protection. Choisissez le type de clé approprié en fonction de vos exigences de sécurité :
Clés protégées par logiciel (RSA, EC) : clés protégées par le logiciel validé FIPS 140-2 niveau 1. Adapté à la plupart des applications nécessitant des opérations de chiffrement et de signature.
Clés protégées par HSM (RSA-HSM, EC-HSM) : clés protégées par des modules de sécurité matériels (HSM). Toutes les nouvelles clés et versions de clés sont créées sur les modules HSM validés FIPS 140-3 de niveau 3 (HSM Platform 2). Recommandé pour les scénarios à haute sécurité nécessitant une protection de clé sauvegardée par le matériel.
Clés de HSM managé : clés dans des pools HSM dédiés, à locataire unique, avec du matériel validé FIPS 140‑3 Niveau 3. Requis pour les exigences de sécurité et de conformité les plus élevées.
Pour plus d’informations sur les types de clés, consultez À propos des clés d'Azure Key Vault.
Utilisation et gestion des clés
Limitez les opérations clés uniquement à celles requises pour votre application afin de réduire la surface d’attaque :
- Limiter les opérations de clé : accorder uniquement les autorisations nécessaires (chiffrer, déchiffrer, signer, vérifier, wrapKey, unwrapKey)
-
Utilisez les tailles de clé appropriées :
- Clés RSA : Utilisez au minimum 2048 bits, et 4096 bits pour les scénarios de haute sécurité.
- Clés EC : Utiliser des courbes P-256, P-384 ou P-521 en fonction des exigences de sécurité
- Clés distinctes par objectif : utilisez différentes clés pour le chiffrement et les opérations de signature pour limiter l’impact si une clé est compromise
Pour obtenir davantage d’informations sur les opérations clés, consultez la section Opérations clés dans Key Vault.
Rotation des clés et contrôle de version
Implémentez une rotation régulière des clés pour limiter l’exposition des clés compromises :
- Activer la rotation automatique des clés : configurez des stratégies de rotation automatique pour faire pivoter les clés sans temps d’arrêt de l’application. Voir Configurer l’autorotation de clé
- Définir la fréquence de rotation : faire pivoter les clés de chiffrement au moins tous les deux ans, ou plus fréquemment en fonction des exigences de conformité
- Utiliser le versionnement des clés : Key Vault versionne automatiquement les clés, ce qui permet une rotation transparente sans interrompre les données chiffrées existantes
- Planifier le rechiffrement : pour les données à long terme, implémentez des stratégies pour rechiffrer des données avec de nouvelles versions de clé
Pour plus d’informations sur la rotation, consultez Configurer l’autorotation de clé de chiffrement dans Azure Key Vault.
Sauvegarde et récupération de clés
Protégez-vous contre la perte de données en implémentant des procédures de sauvegarde et de récupération appropriées :
- Activer la suppression réversible : la suppression réversible autorise la récupération des clés supprimées dans une période de rétention (7 à 90 jours). Consulter Vue d’ensemble de la suppression réversible d’Azure Key Vault
- Activer la protection contre la purge : empêcher la suppression définitive de clés pendant la période de rétention. Voir Protection contre le vidage
- Sauvegarder des clés critiques : exportez et stockez en toute sécurité des sauvegardes de clés qui protègent les données irremplaçables. Voir la sauvegarde d'Azure Key Vault
-
Restreindre les autorisations de sauvegarde : accordez l’opération
backupde clé uniquement aux identités qui en ont réellement besoin. Une clé sauvegardée restaurée dans un autre coffre devient totalement indépendante de l’originale. Pour plus d’informations, consultez considérations relatives à la sécurité de la sauvegarde . - Procédures de récupération de documents : Gérer les runbooks pour les scénarios de récupération clés
Réponse à la compromission de clé
Si vous pensez qu’une clé a été compromise (par exemple, par le biais d’une sauvegarde et d’une restauration non autorisées sur un autre coffre), ne désactivez pas ou supprimez immédiatement la clé. Une copie restaurée est entièrement indépendante du coffre source. Par conséquent, la désactivation, la suppression ou la purge de l’original n’invalide aucune copie restaurée. En même temps, la désactivation ou la suppression de la clé met tous les services dépendants hors ligne (Azure SQL TDE, Stockage Azure SSE, Azure Disk Encryption et autres).
À la place, contenez la violation, effectuez une rotation vers une nouvelle clé dans un coffre propre, migrez tous les services dépendants, puis désactivez uniquement ensuite la clé compromise. Pour connaître la procédure complète de réponse aux incidents pas à pas, consultez considérations relatives à la sécurité de la sauvegarde. Pour connaître les procédures de rotation des clés, consultez Configurer l’autorotation de clé de chiffrement dans Azure Key Vault.
Pour détecter rapidement toute exfiltration non autorisée de clé, surveillez les journaux d’audit de Key Vault pour les opérations KeyBackup et KeyRestore et générez des alertes en cas d’activité inattendue. Pour plus d’informations, consultez Journalisation Azure Key Vault.
Bring Your Own Key (BYOK)
Lors de l’importation de vos propres clés dans Key Vault, suivez les meilleures pratiques de sécurité :
- Utiliser la génération de clés sécurisée : générer des clés dans un HSM local pris en charge qui répond à vos exigences de conformité
- Protéger les clés pendant le transfert : utilisez le processus BYOK de Key Vault pour transférer en toute sécurité les clés. Consultez Importer les clés protégées par HSM dans Key Vault (BYOK)
- Valider l’importation de clé : vérifier les attributs et autorisations clés après l’importation
- Conserver la provenance des clés : documenter l’origine et la méthode de transfert des clés importées
Pour plus d’informations sur BYOK, consultez Importer des clés protégées par HSM pour Key Vault.
Délivrance et attestation de clé
Pour les scénarios nécessitant une délivrance de clé dans des environnements approuvés :
- Utiliser les stratégies de mise en production de clés : configurer des stratégies de mise en production basées sur l’attestation pour contrôler quand les clés peuvent être libérées de Key Vault
- Vérifier l’attestation : vérifiez que les environnements demandeurs fournissent une attestation valide avant de libérer des clés
- Audit des libérations de clés : surveiller et journaliser toutes les opérations de libération de clé
Pour plus d’informations sur la publication de clé, consultez la publication de clé dans Azure Key Vault.
Supervision et audit
Suivez l’utilisation des clés pour détecter les modèles suspects ou d’accès non autorisés :
- Activer la journalisation des diagnostics : journaliser toutes les opérations clés pour l’analyse de sécurité. Consultez Azure Key Vault logs
- Surveiller les opérations de clé : suivre les opérations de chiffrement, de déchiffrement, de signature et de vérification pour établir des modèles d’utilisation de référence
-
Configurer des alertes : Configurez les alertes Azure Monitor pour :
- Modèles d’accès à clé inhabituels
- Échec des opérations de clé
- Suppressions ou modifications de clés
- La clé approche de l'expiration.
Consultez Surveillance et alerte d'Azure Key Vault.
Expiration des clés
Définissez les dates d’expiration des clés le cas échéant :
- Définir l’expiration des clés temporaires : les clés utilisées à des fins limitées dans le temps doivent avoir des dates d’expiration
- Surveiller les clés arrivant à expiration : utilisez les notifications Event Grid pour alerter avant l’expiration des clés. Consultez Azure Key Vault comme source Event Grid
- Automatiser le renouvellement des clés : implémenter des processus automatisés pour faire pivoter des clés avant l’expiration
Articles de sécurité connexes
- Sécurisez votre Azure Key Vault - Guide complet de sécurité pour Key Vault
- Secure your Azure Key Vault secrets - Meilleures pratiques de sécurité pour les secrets
- Secure your Azure Key Vault certificates - Meilleures pratiques de sécurité pour les certificats