Uw Azure Key Vault-sleutels beveiligen

Azure Key Vault sleutels beveiligen cryptografische sleutels die worden gebruikt voor versleuteling, digitale handtekeningen en sleutelterugloopbewerkingen. Dit artikel bevat beveiligingsaan aanbevelingen die specifiek zijn voor cryptografisch sleutelbeheer.

Opmerking

Dit artikel is gericht op beveiligingsprocedures die specifiek zijn voor Key Vault sleutels. Zie Beveilig uw Azure Key Vault voor uitgebreide Key Vault-beveiligingsrichtlijnen, waaronder netwerkbeveiliging, identiteits- en toegangsbeheer en kluisarchitectuur.

Sleuteltypen en beveiligingsniveaus

Azure Key Vault ondersteunt verschillende sleuteltypen met verschillende beveiligingsniveaus. Kies het juiste sleuteltype op basis van uw beveiligingsvereisten:

  • Met software beveiligde sleutels (RSA, EC): sleutels die worden beveiligd door door FIPS 140-2 Niveau 1 gevalideerde software. Geschikt voor de meeste toepassingen waarvoor versleutelings- en ondertekeningsbewerkingen nodig zijn.

  • Met HSM beveiligde sleutels (RSA-HSM, EC-HSM): sleutels die worden beveiligd door HSM's (Hardware Security Modules). Alle nieuwe sleutels en sleutelversies worden gemaakt op FIPS 140-3 Niveau 3 gevalideerde HSM's (HSM Platform 2). Aanbevolen voor scenario's met hoge beveiliging waarvoor door hardware ondersteunde sleutelbeveiliging is vereist.

  • Beheerde HSM-sleutels: Sleutels in specifieke HSM-pools voor één tenant, met hardware die gevalideerd is volgens FIPS 140-3 niveau 3. Vereist voor de hoogste beveiligings- en nalevingsvereisten.

Zie About Azure Key Vault keys voor meer informatie over sleuteltypen.

Sleutelgebruik en -bewerkingen

Beperk belangrijke bewerkingen tot alleen de bewerkingen die vereist zijn voor uw toepassing om de kwetsbaarheid voor aanvallen te minimaliseren:

  • Sleutelbewerkingen beperken: alleen benodigde machtigingen verlenen (versleutelen, ontsleutelen, ondertekenen, verifiëren, wrapKey, unwrapKey)
  • Gebruik de juiste sleutelgrootten:
    • RSA-sleutels: 2048-bits minimum, 4096-bits gebruiken voor scenario's met hoge beveiliging
    • EC-sleutels: Gebruik P-256-, P-384- of P-521-curven op basis van beveiligingsvereisten
  • Afzonderlijke sleutels per doel: gebruik verschillende sleutels voor versleuteling versus ondertekeningsbewerkingen om de impact te beperken als een sleutel wordt aangetast

Zie Key-bewerkingen in Key Vault voor meer informatie over sleutelbewerkingen.

Sleutelrotatie en versiebeheer

Implementeer regelmatige sleutelrotatie om de blootstelling van gecompromitteerde sleutels te beperken:

  • Automatische sleutelrotatie inschakelen: configureer beleid voor automatische rotatie om sleutels te roteren zonder uitvaltijd van toepassingen. Zie sleutelrotatie configureren
  • Rotatiefrequentie instellen: versleutelingssleutels minstens om de twee jaar draaien, of vaker op basis van nalevingsvereisten
  • Sleutelversiebeheer gebruiken: Key Vault zorgt automatisch voor versiebeheer van sleutels, zodat rotatie naadloos kan verlopen zonder dat bestaande versleutelde gegevens worden onderbroken.
  • Plan voor herversleuteling: Implementeer strategieën voor het opnieuw versleutelen van gegevens met nieuwe sleutelversies voor langetermijngegevens

Zie Configure cryptographic key autorotation in Azure Key Vault voor meer informatie over rotatie.

Back-up en herstel van sleutels

Bescherm tegen gegevensverlies door de juiste back-up- en herstelprocedures te implementeren:

  • Voorlopig verwijderen inschakelen: Met voorlopig verwijderen kunnen verwijderde sleutels binnen een bewaarperiode (7-90 dagen) worden hersteld. Zie Azure Key Vault overzicht van voorlopig verwijderen
  • Beveiliging tegen opschonen inschakelen: voorkom dat sleutels permanent worden verwijderd tijdens de bewaarperiode. Zie Bescherming tegen opschonen
  • Back-ups maken van kritieke sleutels: back-ups exporteren en veilig opslaan van sleutels die onvervangbare gegevens beveiligen. Zie Azure Key Vault backup
  • Back-upmachtigingen beperken: Verken de backup sleutelbewerking alleen aan identiteiten die deze echt nodig hebben. Een back-upsleutel die in een andere kluis wordt hersteld, wordt volledig onafhankelijk van het origineel. Zie overwegingen voor back-upbeveiliging voor meer informatie.
  • Procedures voor documentherstel: Runbooks onderhouden voor belangrijke herstelscenario's

Antwoord op belangrijke inbreuk

Als u vermoedt dat een sleutel is aangetast (bijvoorbeeld via een niet-geautoriseerde back-up en herstel naar een andere kluis), schakelt u de sleutel niet onmiddellijk uit of verwijdert u deze. Een herstelde kopie is volledig onafhankelijk van de bronkluis, dus het uitschakelen, verwijderen of opschonen van het origineel maakt geen herstelde kopieën ongeldig. Tegelijkertijd haalt het uitschakelen of verwijderen van de sleutel alle afhankelijke services offline (Azure SQL TDE, Azure Storage SSE, Azure Disk Encryption en andere).

In plaats daarvan beperkt u de inbreuk, wisselt u naar een nieuwe sleutel in een schone kluis, migreert u alle afhankelijke diensten en schakelt u pas dan de gecompromitteerde sleutel uit. Zie Overwegingen voor back-upbeveiliging voor de volledige stapsgewijze procedure voor het reageren op incidenten. Zie Automatische rotatie van cryptografische sleutels configureren in Azure Key Vault voor procedures voor sleutelrotatie.

Als u niet-geautoriseerde sleutelexfiltratie vroeg wilt detecteren, controleert u key Vault-auditlogboeken voor KeyBackup en KeyRestore bewerkingen en waarschuwingen over onverwachte activiteiten. Zie Logboekregistratie van Azure Key Vault voor meer informatie.

Bring Your Own Key (BYOK)

Wanneer u uw eigen sleutels in Key Vault importeert, volgt u de aanbevolen beveiligingsprocedures:

  • Veilige sleutelgeneratie gebruiken: sleutels genereren in een ondersteunde on-premises HSM die voldoet aan uw nalevingsvereisten
  • Sleutels beveiligen tijdens overdracht: gebruik het BYOK-proces van Key Vault om sleutels veilig over te dragen. Zie Importeer met HSM beveiligde sleutels voor Key Vault (BYOK)
  • Sleutelimport valideren: sleutelkenmerken en machtigingen controleren na het importeren
  • Sleutelherkomst behouden: de oorsprong en overdrachtsmethode van geïmporteerde sleutels documenteren

Zie HSM-beschermde sleutels importeren voor Key Vault voor meer informatie over BYOK.

Sleutelrelease en attestatie

Voor scenario's waarvoor een sleutelrelease is vereist voor vertrouwde omgevingen:

  • Beleid voor sleutelrelease gebruiken: Op attestation gebaseerd releasebeleid configureren om te bepalen wanneer sleutels kunnen worden vrijgegeven uit Key Vault
  • Attestation verifiëren: zorg ervoor dat aanvragende omgevingen geldige attestation bieden voordat sleutels worden vrijgegeven
  • Sleutelreleases controleren: alle bewerkingen voor sleutelrelease bewaken en vastleggen

Zie Azure Key Vault key release voor meer informatie over sleutelrelease.

Bewaking en audit

Gebruik van sleutels bijhouden om onbevoegde toegang of verdachte patronen te detecteren:

  • Diagnostische logboekregistratie inschakelen: alle sleutelbewerkingen vastleggen voor beveiligingsanalyse. Zie Azure Key Vault logging
  • Belangrijke bewerkingen bewaken: Beheren van versleutelings-, ontsleutelings-, ondertekenings- en verificatiesessies om basale gebruikspatronen vast te stellen
  • Waarschuwingen instellen: configureer Azure Monitor waarschuwingen voor:
    • Ongebruikelijke toegangspatronen voor sleutels
    • Mislukte sleutelbewerkingen
    • Sleutelverwijderingen of -wijzigingen
    • Verlooptijd van sleutel naderen

Zie Bewaking en waarschuwingen voor Azure Key Vault.

Verlooptijd van sleutel

Vervaldatums instellen voor sleutels indien van toepassing:

  • Vervaldatum instellen voor tijdelijke sleutels: sleutels die worden gebruikt voor tijdslimieten, moeten vervaldatums hebben
  • Verlopende sleutels bewaken: Gebruik Event Grid-meldingen om te waarschuwen voordat sleutels verlopen. Zie Azure Key Vault als Event Grid-bron
  • Sleutelvernieuwing automatiseren: geautomatiseerde processen implementeren om sleutels te roteren vóór de vervaldatum

Volgende stappen

  • Last updated on