Freigeben über

Verschlüsselung und Schlüsselverwaltung in Azure

  • Artikel

Die Verschlüsselung ist ein wichtiger Schritt zur Gewährleistung von Datenschutz, Compliance und Data Residency in Microsoft Azure. Sie ist auch bei vielen Unternehmen einer der wichtigsten Sicherheitsaspekte. In diesem Abschnitt werden Entwurfsaspekte und -empfehlungen in Bezug auf Verschlüsselung und Schlüsselverwaltung behandelt.

Überlegungen zum Entwurf

  • Legen Sie für Azure Key Vault geltende Abonnement- und Skalierungsgrenzwerte fest.

    Key Vault weist Transaktionsgrenzwerte für Schlüssel und Geheimnisse auf. Informationen zum Drosseln von Transaktionen pro Tresor in einem bestimmten Zeitraum finden Sie unter Einschränkungen für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.

    Key Vault dient als Sicherheitsgrenze, da Zugriffsberechtigungen für Schlüssel, Geheimnisse und Zertifikate auf Tresorebene gelten. Mit Zuweisungen von Schlüsseltresor-Zugriffsrichtlinien können separate Berechtigungen für Schlüssel, Geheimnisse oder Zertifikate gewährt werden. Sie unterstützen keine differenzierten Berechtigungen auf Objektebene, wie z. B. für bestimmte Schlüssel, Geheimnisse oder die Schlüsselverwaltung für Zertifikate.

  • Isolieren Sie je nach Bedarf anwendungs- und workloadspezifische Geheimnisse und gemeinsam genutzte Schlüssel, um den Zugriff zu steuern.

  • Optimieren Sie Premium-SKUs, bei denen durch HSM geschützte Schlüssel (Hardwaresicherheitsmodul) erforderlich sind.

    Zugrunde liegende HSMs sind konform mit FIPS 140-2 Level 2. Verwalten Sie ein dediziertes Azure-HSM für die Konformität mit FIPS 140-2 Level 3 unter Berücksichtigung der unterstützten Szenarios.

  • Verwalten Sie Schlüsselrotation und den Ablauf von Geheimnissen.

  • Verwenden Sie Key Vault-Zertifikate zum Verwalten der Zertifikatbeschaffung und -signatur. Legen Sie Warnungen, Benachrichtigungen und automatisierte Zertifikatverlängerungen fest.

  • Legen Sie Anforderungen an die Notfallwiederherstellung für Schlüssel, Zertifikate und Geheimnisse fest.

  • Legen Sie Replikations- und Failoverfunktionen für den Key Vault-Dienst fest. Legen Sie Verfügbarkeit und Redundanz fest.

  • Überwachen Sie die Nutzung von Schlüsseln, Zertifikaten und Geheimnissen.

    Erkennen Sie nicht autorisierten Zugriff mithilfe eines Schlüsseltresors oder Log Analytics-Arbeitsbereichs von Azure Monitor. Weitere Informationen finden Sie unter Überwachung und Warnungen für Azure Key Vault.

  • Delegieren Sie Key Vault-Instanziierung und privilegierter Zugriff. Weitere Informationen finden Sie unter Azure Key Vault – Sicherheit.

  • Legen Sie Anforderungen für die Nutzung benutzerdefinierter Schlüssel für native Verschlüsselungsmechanismen wie Azure Storage-Verschlüsselung fest:

    • Kundenseitig verwaltete Schlüssel
    • Vollständige Datenträgerverschlüsselung für virtuelle Computer (VMs)
    • Verschlüsselung von Daten während der Übertragung
    • Verschlüsselung ruhender Daten

Entwurfsempfehlungen

  • Nutzen Sie ein Azure Key Vault-Verbundmodell, um Beschränkungen des Transaktionsumfangs zu vermeiden.

  • Azure RBAC ist das standardmäßige und empfohlene Autorisierungssystem für die Azure Key Vault-Datenebene. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC) vs. Zugriffsrichtlinien (Legacy).

  • Stellen Sie Azure Key Vault mit Richtlinien für vorläufiges und endgültiges Löschen bereit, damit Aufbewahrungsschutz für gelöschte Objekte aktiviert werden kann.

  • Befolgen Sie ein Modell der geringsten Rechte, indem Sie die Autorisierung zum permanenten Löschen von Schlüsseln, Geheimnissen und Zertifikaten auf spezielle benutzerdefinierte Microsoft Entra-Rollen beschränken.

  • Automatisieren Sie den Prozess zur Verwaltung und Verlängerung von Zertifikaten mit öffentlichen Zertifizierungsstellen, um die Verwaltung zu erleichtern.

  • Führen Sie einen automatisierten Prozess für die Rotation von Schlüsseln und Zertifikaten ein.

  • Aktivieren Sie Dienstendpunkte für die Firewall und das virtuelle Netzwerk im Tresor für den Zugriff auf den Schlüsseltresor.

  • Verwenden Sie den für die Plattform zentralen Log Analytics-Arbeitsbereich von Azure Monitor, um die Verwendung von Schlüsseln, Zertifikaten und Geheimnissen innerhalb jeder Key Vault-Instanz zu überwachen.

  • Delegieren Sie die Instanziierung von Key Vault und den privilegierten Zugriff, und erzwingen Sie mithilfe von Azure Policy eine einheitliche, konforme Konfiguration.

  • Greifen Sie bei Bedarf standardmäßig auf von Microsoft verwaltete Schlüssel für die grundlegende Verschlüsselungsfunktionalität zurück, und nutzen Sie bei Bedarf von Kund*innen verwaltete Schlüssel.

  • Verwenden Sie keine zentralisierten Key Vault-Instanzen für Anwendungsschlüssel oder -geheimnisse.

  • Geben Sie keine Key Vault-Instanzen zwischen Anwendungen frei, um die gemeinsame Nutzung von Geheimnissen in verschiedenen Umgebungen zu vermeiden.