Ajánlott eljárások a felügyelt HSM biztonságossá tételéhez
Ez a cikk az Azure Key Vault által felügyelt HSM-kulcskezelő rendszer biztonságossá tételének ajánlott eljárásait ismerteti. A biztonsági javaslatok teljes listáját az Azure Managed HSM biztonsági alapkonfigurációja tartalmazza.
A felügyelt HSM-hez való hozzáférés szabályozása
A felügyelt HSM egy felhőszolgáltatás, amely védi a titkosítási kulcsokat. Mivel ezek a kulcsok érzékenyek és kritikus fontosságúak a vállalat számára, győződjön meg arról, hogy a felügyelt HSM-eket úgy védi, hogy csak a jogosult alkalmazások és felhasználók férhetnek hozzá. A felügyelt HSM-hozzáférés-vezérlés áttekintést nyújt a hozzáférési modellről. Ismerteti a hitelesítést, az engedélyezést és a szerepköralapú hozzáférés-vezérlést (RBAC).
A felügyelt HSM-hez való hozzáférés szabályozása:
- Hozzon létre egy Microsoft Entra biztonsági csoportot a HSM-rendszergazdák számára (a rendszergazdai szerepkör egyénekhez való hozzárendelése helyett), hogy megakadályozza az "adminisztrációs zárolást", ha egy egyéni fiókot töröl.
- Zárolhatja a felügyeleti csoportokhoz, előfizetésekhez, erőforráscsoportokhoz és felügyelt HSM-ekhez való hozzáférést. Az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC) szabályozhatja a felügyeleti csoportokhoz, előfizetésekhez és erőforráscsoportokhoz való hozzáférést.
- Kulcsonkénti szerepkör-hozzárendelések létrehozása felügyelt HSM helyi RBAC használatával.
- A feladatok elkülönítésének fenntartása érdekében ne rendeljen több szerepkört ugyanahhoz a taghoz.
- A szerepkörök hozzárendeléséhez használja a minimális jogosultsági hozzáférési elvet.
- Hozzon létre egy egyéni szerepkördefiníciót egy pontos engedélykészlet használatával.
Biztonsági másolatok létrehozása
Győződjön meg arról, hogy rendszeres biztonsági másolatokat készít a felügyelt HSM-ről.
Biztonsági másolatokat a HSM szintjén és adott kulcsokhoz hozhat létre.
Kapcsolja be a naplózást
Kapcsolja be a HSM naplózását .
Riasztásokat is beállíthat.
Kapcsolja be a helyreállítási lehetőségeket
A helyreállítható törlés alapértelmezés szerint be van kapcsolva. 7 és 90 nap közötti megőrzési időtartamot választhat.
Kapcsolja be a törlés elleni védelmet a HSM vagy kulcsok azonnali végleges törlésének megakadályozásához.
Ha a törlés elleni védelem be van kapcsolva, a felügyelt HSM vagy kulcsok a megőrzési időszak végéig törölt állapotban maradnak.