Ajánlott eljárások a felügyelt HSM biztonságossá tételéhez

Ez a cikk az Azure Key Vault által felügyelt HSM-kulcskezelő rendszer biztonságossá tételének ajánlott eljárásait ismerteti. A biztonsági javaslatok teljes listáját az Azure Managed HSM biztonsági alapkonfigurációja tartalmazza.

A felügyelt HSM-hez való hozzáférés szabályozása

A felügyelt HSM egy felhőszolgáltatás, amely védi a titkosítási kulcsokat. Mivel ezek a kulcsok érzékenyek és kritikus fontosságúak a vállalat számára, győződjön meg arról, hogy a felügyelt HSM-eket úgy védi, hogy csak a jogosult alkalmazások és felhasználók férhetnek hozzá. A felügyelt HSM-hozzáférés-vezérlés áttekintést nyújt a hozzáférési modellről. Ismerteti a hitelesítést, az engedélyezést és a szerepköralapú hozzáférés-vezérlést (RBAC).

A felügyelt HSM-hez való hozzáférés szabályozása:

• Hozzon létre egy Microsoft Entra biztonsági csoportot a HSM-rendszergazdák számára (a rendszergazdai szerepkör egyénekhez való hozzárendelése helyett), hogy megakadályozza az "adminisztrációs zárolást", ha egy egyéni fiókot töröl.
• Zárolhatja a felügyeleti csoportokhoz, előfizetésekhez, erőforráscsoportokhoz és felügyelt HSM-ekhez való hozzáférést. Az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC) szabályozhatja a felügyeleti csoportokhoz, előfizetésekhez és erőforráscsoportokhoz való hozzáférést.
• Kulcsonkénti szerepkör-hozzárendelések létrehozása felügyelt HSM helyi RBAC használatával.
• A feladatok elkülönítésének fenntartása érdekében ne rendeljen több szerepkört ugyanahhoz a taghoz.
• A szerepkörök hozzárendeléséhez használja a minimális jogosultsági hozzáférési elvet.
• Hozzon létre egy egyéni szerepkördefiníciót egy pontos engedélykészlet használatával.

Biztonsági másolatok létrehozása

• Győződjön meg arról, hogy rendszeres biztonsági másolatokat készít a felügyelt HSM-ről.

  Biztonsági másolatokat a HSM szintjén és adott kulcsokhoz hozhat létre.

Kapcsolja be a naplózást

• Kapcsolja be a HSM naplózását .

  Riasztásokat is beállíthat.

Kapcsolja be a helyreállítási lehetőségeket

• A helyreállítható törlés alapértelmezés szerint be van kapcsolva. 7 és 90 nap közötti megőrzési időtartamot választhat.

• Kapcsolja be a törlés elleni védelmet a HSM vagy kulcsok azonnali végleges törlésének megakadályozásához.

  Ha a törlés elleni védelem be van kapcsolva, a felügyelt HSM vagy kulcsok a megőrzési időszak végéig törölt állapotban maradnak.

Következő lépések

• Felügyelt HSM biztonsági alapkonfiguráció
• Teljes biztonsági mentés és visszaállítás
• Felügyelt HSM naplózása
• Felügyelt HSM-kulcsok kezelése
• Felügyelt HSM-szerepkörök kezelése
• Felügyelt HSM helyreállítható törlés áttekintése