Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le chiavi di Azure Key Vault proteggono le chiavi crittografiche utilizzate per le operazioni di crittografia, firme digitali e incapsulamento delle chiavi. Questo articolo fornisce raccomandazioni sulla sicurezza specifiche per la gestione delle chiavi crittografiche.
Annotazioni
Questo articolo è incentrato sulle procedure di sicurezza specifiche per le chiavi di Key Vault. Per indicazioni complete sulla sicurezza Key Vault, tra cui la sicurezza di rete, la gestione delle identità e degli accessi e l'architettura dell'insieme di credenziali, vedere Secure your Azure Key Vault.
Tipi di chiave e livelli di protezione
Azure Key Vault supporta tipi di chiave diversi con diversi livelli di protezione. Scegliere il tipo di chiave appropriato in base ai requisiti di sicurezza:
Chiavi protette da software (RSA, EC): chiavi protette dal software convalidato FIPS 140-2 Livello 1. Adatto per la maggior parte delle applicazioni che richiedono operazioni di crittografia e firma.
Chiavi protette dal modulo di protezione hardware (RSA-HSM, EC-HSM): chiavi protette da moduli di protezione hardware (HSM). Tutte le nuove chiavi e le nuove versioni delle chiavi vengono create in moduli di protezione hardware convalidati FIPS 140-3 di livello 3 (HSM Platform 2). Consigliato per scenari di sicurezza elevata che richiedono la protezione con chiave supportata dall'hardware.
Chiavi HSM gestito: chiavi in pool HSM dedicati a singolo tenant con hardware FIPS 140-3 Livello 3 convalidato. Obbligatorio per i requisiti di sicurezza e conformità più elevati.
Per altre informazioni sui tipi di chiave, vedere Informazioni sulle chiavi Azure Key Vault.
Utilizzo e operazioni principali
Limitare le operazioni chiave solo a quelle necessarie per ridurre al minimo la superficie di attacco dell'applicazione:
- Limitare le operazioni relative alle chiavi: concedere solo le autorizzazioni necessarie (crittografare, decrittografare, firmare, verificare, wrapKey, unwrapKey)
-
Usare le dimensioni delle chiavi appropriate:
- Chiavi RSA: usare un minimo di 2048 bit, 4096 bit per scenari di sicurezza elevata
- Chiavi EC: usare curve P-256, P-384 o P-521 in base ai requisiti di sicurezza
- Chiavi separate per scopo: usare chiavi diverse per le operazioni di crittografia e firma per limitare l'impatto se una chiave viene compromessa
Per altre informazioni sulle operazioni principali, vedere Operazioni chiave in Key Vault.
Rotazione delle chiavi e controllo delle versioni
Implementare una rotazione regolare delle chiavi per limitare l'esposizione dalle chiavi compromesse:
- Abilitare la rotazione automatica delle chiavi: configurare i criteri di rotazione automatica per ruotare le chiavi senza tempi di inattività dell'applicazione. Consultare Configurare l'autorotazione della chiave
- Impostare la frequenza di rotazione: ruotare le chiavi di crittografia almeno ogni due anni o più frequentemente in base ai requisiti di conformità
- Uso della versionizzazione delle chiavi: Key Vault versiona automaticamente le chiavi, permettendo la rotazione senza interrompere i dati crittografati esistenti
- Pianificare la nuova crittografia: per i dati a lungo termine, implementare strategie per crittografare nuovamente i dati con nuove versioni delle chiavi
Per altre informazioni sulla rotazione, vedere Configurare l'autorotazione della chiave crittografica in Azure Key Vault.
Backup e ripristino delle chiavi
Proteggersi dalla perdita di dati implementando procedure di backup e ripristino appropriate:
- Abilita eliminazione temporanea: l'eliminazione temporanea consente il ripristino delle chiavi eliminate entro un periodo di conservazione (7-90 giorni). Vedere Panoramica della funzionalità di eliminazione temporanea di Azure Key Vault
- Abilitare la protezione dall'eliminazione: impedisce l'eliminazione permanente delle chiavi durante il periodo di conservazione. Vedere Protezione dalla rimozione
- Backup delle chiavi critiche: esportare e archiviare in modo sicuro i backup delle chiavi che proteggono i dati insostituibili. Vedere Azure Key Vault backup
- Limitare le autorizzazioni di backup: concedere l'operazione relativa alla chiave solo alle identità che ne hanno realmente bisogno. Una chiave sottoposta a backup ripristinata in un altro insieme di credenziali diventa completamente indipendente dall'originale. Per informazioni dettagliate, vedere Considerazioni sulla sicurezza del backup .
- Procedure di ripristino dei documenti: Mantenere i runbook per scenari chiave di ripristino
Risposta alla compromissione delle chiavi
Se sospetti che una chiave sia stata compromessa (ad esempio, tramite backup non autorizzato e ripristino in un altro vault), non disabilitare o eliminare immediatamente la chiave. Una copia ripristinata è completamente indipendente dall'insieme di credenziali di origine, pertanto la disabilitazione, l'eliminazione o la rimozione definitiva dell'originale non compromette la validità di alcuna copia ripristinata. Allo stesso tempo, la disabilitazione o l'eliminazione della chiave porta offline tutti i servizi dipendenti (Azure SQL TDE, Archiviazione di Azure SSE, Crittografia dischi di Azure e altri).
Limitare la violazione, passare a una nuova chiave in un insieme di credenziali pulito, eseguire la migrazione di tutti i servizi dipendenti e disabilitare solo la chiave compromessa. Per la procedura dettagliata di risposta agli eventi imprevisti, vedere Considerazioni sulla sicurezza del backup. Per le procedure di rotazione delle chiavi, vedere Configurare l'autorotazione della chiave crittografica in Azure Key Vault.
Per rilevare in anticipo l'esfiltrazione di chiavi non autorizzata, monitorare i log di controllo di Key Vault per KeyBackup e KeyRestore operazioni e inviare avvisi su attività inattese. Per altre informazioni, vedere Log di Azure Key Vault.
Bring Your Own Key (BYOK)
Quando si importano chiavi personalizzate in Key Vault, seguire le procedure consigliate per la sicurezza:
- Usare la generazione di chiavi sicure: generare chiavi in un modulo di protezione hardware locale supportato che soddisfi i requisiti di conformità
- Proteggere le chiavi durante il trasferimento: usare il processo BYOK di Key Vault per trasferire in modo sicuro le chiavi. Vedere Importare chiavi protette da HSM per Key Vault (BYOK)
- Convalidare l'importazione della chiave: verificare gli attributi e le autorizzazioni della chiave dopo l'importazione
- Mantenere la provenienza della chiave: documentare l'origine e il metodo di trasferimento delle chiavi importate
Per altre informazioni su BYOK, vedere Importare chiavi protette da HSM per Key Vault.
Rilascio e attestazione della chiave
Per gli scenari che richiedono il rilascio della chiave in ambienti attendibili:
- Usare i criteri di rilascio delle chiavi: Configurare i criteri di rilascio basati sull'attestazione per controllare quando le chiavi possono essere rilasciate da Key Vault
- Verificare l'attestazione: assicurarsi che gli ambienti richiedenti forniscano un'attestazione valida prima del rilascio delle chiavi
- Controlla le versioni chiave: Monitorare e registrare tutte le operazioni di rilascio chiave
Per altre informazioni sulla versione della chiave, vedere Azure Key Vault key release.
Monitoraggio e controllo
Tenere traccia dell'utilizzo delle chiavi per rilevare l'accesso non autorizzato o i modelli sospetti:
- Abilitare la registrazione diagnostica: registrare tutte le operazioni chiave per l'analisi della sicurezza. Vedere Registrazione di Azure Key Vault
- Monitorare le operazioni sulle chiavi: tenere traccia delle operazioni di crittografia, decrittografia, firma e verifica per stabilire modelli di utilizzo di base
-
Imposta avvisi: Configura gli avvisi di Azure Monitor per:
- Modelli di accesso chiave insoliti
- Operazioni chiave non riuscite
- Eliminazioni o modifiche delle chiavi
- Chiave in scadenza
Vedere Monitoraggio e avvisi per Azure Key Vault.
Scadenza della chiave
Impostare le date di scadenza per le chiavi quando appropriato:
- Impostare la scadenza per le chiavi temporanee: le chiavi usate per scopi limitati a tempo devono avere date di scadenza
- Monitorare le chiavi in scadenza: usare le notifiche di Griglia di eventi per avvisare prima della scadenza delle chiavi. Vedere Azure Key Vault come origine di Griglia di eventi
- Automatizzare il rinnovo delle chiavi: implementare processi automatizzati per ruotare le chiavi prima della scadenza
Articoli sulla sicurezza correlati
- Secure your Azure Key Vault - Linee guida complete per la sicurezza di Key Vault
- Secure your Azure Key Vault secrets - Procedure consigliate per la sicurezza per i segreti
- Proteggi i tuoi certificati di Azure Key Vault - Le migliori pratiche di sicurezza per i certificati