Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Key Vault Schlüssel schützen kryptografische Schlüssel, die für Verschlüsselung, digitale Signaturen und Schlüsselumbruchvorgänge verwendet werden. Dieser Artikel enthält Sicherheitsempfehlungen speziell für die Verwaltung kryptografischer Schlüssel.
Hinweis
Dieser Artikel konzentriert sich auf sicherheitsspezifische Methoden für Key Vault Schlüssel. Umfassende Key Vault Sicherheitsleitfaden, einschließlich Netzwerksicherheit, Identitäts- und Zugriffsverwaltung und Tresorarchitektur, finden Sie unter Secure your Azure Key Vault.
Schlüsseltypen und Schutzebenen
Azure Key Vault unterstützt verschiedene Schlüsseltypen mit unterschiedlichen Schutzstufen. Wählen Sie den entsprechenden Schlüsseltyp basierend auf Ihren Sicherheitsanforderungen aus:
Softwaregeschützte Schlüssel (RSA, EC):Schlüssel, die durch FIPS 140-2 Level 1 validierte Software geschützt sind. Geeignet für die meisten Anwendungen, die Verschlüsselungs- und Signaturvorgänge erfordern.
HSM-geschützte Schlüssel (RSA-HSM, EC-HSM): Schlüssel, die durch Hardwaresicherheitsmodule (HSMs) geschützt sind. Alle neuen Schlüssel und Schlüsselversionen werden auf FIPS 140-3 Level 3 validierten HSMs (HSM Platform 2) erstellt. Empfohlen für Szenarien mit hoher Sicherheit, die hardwaregestützten Schlüsselschutz erfordern.
Verwaltete HSM-Schlüssel: Schlüssel in dedizierten, single-tenant HSM Pools mit FIPS 140-3 Level 3 überprüfter Hardware. Erforderlich für höchste Sicherheits- und Complianceanforderungen.
Weitere Informationen zu Schlüsseltypen finden Sie unter About Azure Key Vault keys.
Schlüsselverwendung und -operationen
Beschränken Sie schlüsseloperationen auf diejenigen, die für Ihre Anwendung erforderlich sind, um die Angriffsfläche zu minimieren:
- Einschränken von Schlüsselvorgängen: Nur erforderliche Berechtigungen erteilen (verschlüsseln, entschlüsseln, signieren, überprüfen, wrapKey, unwrapKey)
-
Verwenden Sie geeignete Schlüsselgrößen:
- RSA-Schlüssel: Verwenden sie mindestens 2048-Bit, 4096-Bit für Szenarien mit hoher Sicherheit
- EC-Schlüssel: Verwenden von P-256-, P-384- oder P-521-Kurven basierend auf Sicherheitsanforderungen
- Trennen Sie Schlüssel nach Zweck: Verwenden Sie unterschiedliche Schlüssel für Verschlüsselung und Signierungsvorgänge, um auswirkungen zu begrenzen, wenn ein Schlüssel kompromittiert wird.
Weitere Informationen zu Schlüsselvorgängen finden Sie unter Schlüsselvorgänge in Key Vault.
Schlüsseldrehung und Versionsverwaltung
Führen Sie regelmäßige Schlüsseldrehung durch, um die Gefährdung durch kompromittierte Schlüssel zu begrenzen.
- Automatische Schlüsseldrehung aktivieren: Konfigurieren Sie automatische Drehungsrichtlinien, um Schlüssel ohne Anwendungsausfallzeiten zu drehen. Siehe Konfigurieren der Autorotation von Schlüsseln
- Festlegen der Drehfrequenz: Drehen von Verschlüsselungsschlüsseln mindestens alle zwei Jahre oder häufiger basierend auf Complianceanforderungen
- Verwendung von Schlüsselversionierung: Key Vault versioniert Schlüssel automatisch, was eine nahtlose Rotation ermöglicht, ohne bestehende verschlüsselte Daten zu beeinträchtigen.
- Planen der erneuten Verschlüsselung: Für langfristige Daten implementieren Sie Strategien zum erneuten Verschlüsseln von Daten mit neuen Schlüsselversionen
Weitere Informationen zur Schlüsselrotation finden Sie unter Konfigurieren der automatischen Schlüsselrotation in Azure Key Vault.
Schlüsselsicherung und Wiederherstellung
Schutz vor Datenverlust durch Implementierung geeigneter Sicherungs- und Wiederherstellungsverfahren:
- Vorläufiges Löschen aktivieren: Das vorläufige Löschen ermöglicht die Wiederherstellung gelöschter Schlüssel innerhalb eines Aufbewahrungszeitraums (7-90 Tage). Siehe Übersicht über die Azure Key Vault-Funktion zum vorläufigen Löschen.
- Löschschutz aktivieren: Verhindern des dauerhaften Löschens von Schlüsseln während des Aufbewahrungszeitraums. Siehe Löschschutz
- Sichern Sie wichtige Schlüssel: Exportieren und sichern Sie Sicherungen von Schlüsseln, die unersetzliche Daten schützen. Siehe Azure Key Vault Backup
- Dokumentwiederherstellungsverfahren: Verwalten von Runbooks für wichtige Wiederherstellungsszenarien
Bring Your Own Key (BYOK)
Befolgen Sie beim Importieren ihrer eigenen Schlüssel in Key Vault bewährte Methoden für die Sicherheit:
- Sichere Schlüsselgenerierung verwenden: Generieren von Schlüsseln in einem unterstützten lokalen HSM , das Ihre Complianceanforderungen erfüllt
- Schützen Sie Schlüssel während der Übertragung: Verwenden Sie den BYOK-Prozess von Key Vault, um Schlüssel sicher zu übertragen. Weitere Informationen finden Sie unter Importieren von HSM-geschützten Schlüsseln in Key Vault (BYOK)
- Überprüfen des Schlüsselimports: Überprüfen von Schlüsselattributen und Berechtigungen nach dem Import
- Provenienz der Schlüssel aufrechterhalten: Dokumentieren des Ursprungs und der Übertragungsmethode importierter Schlüssel.
Weitere Informationen zu BYOK (Bring Your Own Key) finden Sie unter Importieren von HSM-geschützten Schlüsseln für Key Vault.
Schlüsselfreigabe und Nachweis
Für Szenarien, die eine Schlüsselfreigabe für vertrauenswürdige Umgebungen erfordern:
- Verwenden Sie Schlüssel-Freigaberichtlinien: Konfigurieren Sie attestionsbasierte Freigaberichtlinien, um zu steuern, wann Schlüssel aus dem Schlüsseltresor freigegeben werden können.
- Nachweis überprüfen: Stellen Sie sicher, dass anforderungsumgebungen einen gültigen Nachweis bereitstellen, bevor Sie Schlüssel freigeben.
- Audit von Schlüsselfreigaben: Überwachen und protokollieren Sie alle Schlüssel-Freigabevorgänge
Weitere Informationen zur Schlüsselfreigabe finden Sie unter Azure Key Vault Key Release.
Überwachung und Auditing
Verfolgen Sie die Schlüsselverwendung, um unbefugten Zugriff oder verdächtige Muster zu erkennen:
- Diagnoseprotokollierung aktivieren: Protokollieren sie alle wichtigen Vorgänge für die Sicherheitsanalyse. Siehe Azure Key Vault Logging
- Überwachen von Schlüsselvorgängen: Nachverfolgen von Verschlüsselungs-, Entschlüsselungs-, Signier- und Überprüfungsvorgängen zum Einrichten von Basisnutzungsmustern
-
Benachrichtigungen einrichten: Konfigurieren von Azure Monitor Warnungen für:
- Ungewöhnliche Zugriffsmuster
- Fehlgeschlagene Schlüsselvorgänge
- Wichtige Löschungen oder Änderungen
- Schlüssel nähert sich dem Ablaufdatum
Siehe Monitoring und Warnungen für Azure Key Vault.
Ablauf von Schlüsseln
Festlegen von Ablaufdatumsangaben für Schlüssel bei Bedarf:
- Ablauf für temporäre Schlüssel festlegen: Schlüssel, die für zeitlich begrenzte Zwecke verwendet werden, sollten Ablaufdaten haben
- Überwachung von Ablaufschlüsseln: Verwenden Sie Ereignis-Raster-Benachrichtigungen, um vor Ablauf der Schlüssel zu warnen. Siehe Azure Key Vault als Ereignisrasterquelle
- Automatisierung der Schlüsselerneuerung: Implementierung von automatisierten Prozessen zum Rotieren von Schlüsseln vor ihrem Ablaufen.
Verwandte Sicherheitsartikel
- Secure your Azure Key Vault - Umfassende Key Vault Sicherheitsleitfaden
- Secure your Azure Key Vault secrets – Sicherheitsrichtlinien für Geheimnisse
- Secure your Azure Key Vault certificates – Bewährte Methoden für Sicherheit für Zertifikate