Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le chiavi di Azure Key Vault proteggono le chiavi crittografiche utilizzate per le operazioni di crittografia, firme digitali e incapsulamento delle chiavi. Questo articolo fornisce raccomandazioni sulla sicurezza specifiche per la gestione delle chiavi crittografiche.
Annotazioni
Questo articolo è incentrato sulle procedure di sicurezza specifiche per le chiavi di Key Vault. Per indicazioni complete sulla sicurezza Key Vault, tra cui la sicurezza di rete, la gestione delle identità e degli accessi e l'architettura dell'insieme di credenziali, vedere Secure your Azure Key Vault.
Tipi di chiave e livelli di protezione
Azure Key Vault supporta tipi di chiave diversi con diversi livelli di protezione. Scegliere il tipo di chiave appropriato in base ai requisiti di sicurezza:
Chiavi protette da software (RSA, EC): chiavi protette dal software convalidato FIPS 140-2 Livello 1. Adatto per la maggior parte delle applicazioni che richiedono operazioni di crittografia e firma.
Chiavi protette dal modulo di protezione hardware (RSA-HSM, EC-HSM): chiavi protette da moduli di protezione hardware (HSM). Tutte le nuove chiavi e le nuove versioni delle chiavi vengono create in moduli di protezione hardware convalidati FIPS 140-3 di livello 3 (HSM Platform 2). Consigliato per scenari di sicurezza elevata che richiedono la protezione con chiave supportata dall'hardware.
Chiavi HSM gestite: chiavi in pool HSM dedicati a singolo tenant con hardware FIPS 140-3 Livello 3 convalidato. Obbligatorio per i requisiti di sicurezza e conformità più elevati.
Per altre informazioni sui tipi di chiave, vedere Informazioni sulle chiavi Azure Key Vault.
Utilizzo e operazioni principali
Limitare le operazioni chiave solo a quelle necessarie per ridurre al minimo la superficie di attacco dell'applicazione:
- Limitare le operazioni relative alle chiavi: concedere solo le autorizzazioni necessarie (crittografare, decrittografare, firmare, verificare, wrapKey, unwrapKey)
-
Usare le dimensioni delle chiavi appropriate:
- Chiavi RSA: usare un minimo di 2048 bit, 4096 bit per scenari di sicurezza elevata
- Chiavi EC: usare curve P-256, P-384 o P-521 in base ai requisiti di sicurezza
- Chiavi separate per scopo: usare chiavi diverse per le operazioni di crittografia e firma per limitare l'impatto se una chiave viene compromessa
Per altre informazioni sulle operazioni principali, vedere Operazioni chiave in Key Vault.
Rotazione delle chiavi e controllo delle versioni
Implementare una rotazione regolare delle chiavi per limitare l'esposizione dalle chiavi compromesse:
- Abilitare la rotazione automatica delle chiavi: configurare i criteri di rotazione automatica per ruotare le chiavi senza tempi di inattività dell'applicazione. Consultare Configurare l'autorotazione della chiave
- Impostare la frequenza di rotazione: ruotare le chiavi di crittografia almeno ogni due anni o più frequentemente in base ai requisiti di conformità
- Uso della versionizzazione delle chiavi: Key Vault versiona automaticamente le chiavi, permettendo la rotazione senza interrompere i dati crittografati esistenti
- Pianificare la nuova crittografia: per i dati a lungo termine, implementare strategie per crittografare nuovamente i dati con nuove versioni delle chiavi
Per altre informazioni sulla rotazione, vedere Configurare l'autorotazione della chiave crittografica in Azure Key Vault.
Backup e ripristino delle chiavi
Proteggersi dalla perdita di dati implementando procedure di backup e ripristino appropriate:
- Abilita eliminazione temporanea: l'eliminazione temporanea consente il ripristino delle chiavi eliminate entro un periodo di conservazione (7-90 giorni). Vedere Panoramica della funzionalità di eliminazione temporanea di Azure Key Vault
- Abilitare la protezione dall'eliminazione: impedisce l'eliminazione permanente delle chiavi durante il periodo di conservazione. Vedere Protezione dalla rimozione
- Backup delle chiavi critiche: esportare e archiviare in modo sicuro i backup delle chiavi che proteggono i dati insostituibili. Vedere Azure Key Vault backup
- Procedure di ripristino dei documenti: Mantenere i runbook per scenari chiave di ripristino
Bring Your Own Key (BYOK)
Quando si importano chiavi personalizzate in Key Vault, seguire le procedure consigliate per la sicurezza:
- Usare la generazione di chiavi sicure: generare chiavi in un modulo di protezione hardware locale supportato che soddisfi i requisiti di conformità
- Proteggere le chiavi durante il trasferimento: usare il processo BYOK di Key Vault per trasferire in modo sicuro le chiavi. Vedere Importare chiavi protette da HSM per Key Vault (BYOK)
- Convalidare l'importazione della chiave: verificare gli attributi e le autorizzazioni della chiave dopo l'importazione
- Mantenere la provenienza della chiave: documentare l'origine e il metodo di trasferimento delle chiavi importate
Per altre informazioni su BYOK, vedere Importare chiavi protette da HSM per Key Vault.
Rilascio e attestazione della chiave
Per gli scenari che richiedono il rilascio della chiave in ambienti attendibili:
- Usare i criteri di rilascio delle chiavi: Configurare i criteri di rilascio basati sull'attestazione per controllare quando le chiavi possono essere rilasciate da Key Vault
- Verificare l'attestazione: assicurarsi che gli ambienti richiedenti forniscano un'attestazione valida prima del rilascio delle chiavi
- Controlla le versioni chiave: Monitorare e registrare tutte le operazioni di rilascio chiave
Per altre informazioni sulla versione della chiave, vedere Azure Key Vault key release.
Monitoraggio e controllo
Tenere traccia dell'utilizzo delle chiavi per rilevare l'accesso non autorizzato o i modelli sospetti:
- Abilitare la registrazione diagnostica: registrare tutte le operazioni chiave per l'analisi della sicurezza. Vedere registrazione Azure Key Vault
- Monitorare le operazioni sulle chiavi: tenere traccia delle operazioni di crittografia, decrittografia, firma e verifica per stabilire modelli di utilizzo di base
-
Imposta avvisi: Configura gli avvisi di Monitoraggio di Azure per:
- Modelli di accesso chiave insoliti
- Operazioni chiave non riuscite
- Eliminazioni o modifiche delle chiavi
- Chiave in scadenza
Vedere Monitoraggio e avvisi per Azure Key Vault.
Scadenza della chiave
Impostare le date di scadenza per le chiavi quando appropriato:
- Impostare la scadenza per le chiavi temporanee: le chiavi usate per scopi limitati a tempo devono avere date di scadenza
- Monitorare le chiavi in scadenza: usare le notifiche di Griglia di eventi per avvisare prima della scadenza delle chiavi. Vedere Azure Key Vault come origine griglia di eventi
- Automatizzare il rinnovo delle chiavi: implementare processi automatizzati per ruotare le chiavi prima della scadenza
Articoli sulla sicurezza correlati
- Secure your Azure Key Vault - Linee guida complete per la sicurezza di Key Vault
- Secure your Azure Key Vault secrets - Procedure consigliate per la sicurezza per i segreti
- Proteggi i tuoi certificati di Azure Key Vault - Le migliori pratiche di sicurezza per i certificati