관리형 HSM 보안에 대한 모범 사례

이 문서에서는 Azure Key Vault Managed HSM 키 관리 시스템 보안에 대한 모범 사례를 제공합니다. 보안 권장 사항의 전체 목록은 Azure Managed HSM 보안 기준을 참조하세요.

관리형 HSM에 대한 액세스 제어

관리형 HSM은 암호화 키를 보호하는 클라우드 서비스입니다. 키는 민감하고 업무상 중요하므로 권한 있는 애플리케이션과 사용자의 액세스만 허용하여 관리형 HSM을 보호해야 합니다. 관리형 HSM 액세스 제어에서는 액세스 모델에 대한 개요를 제공합니다. 인증, 권한 부여 및 RBAC(역할 기반 액세스 제어)에 대해 설명합니다.

관리형 HSM에 대한 액세스를 제어하려면 다음을 수행합니다.

  • 개별 계정이 삭제된 경우 “관리 잠금”을 방지하기 위해 HSM 관리자에 대한 Microsoft Entra 보안 그룹을 만듭니다(개인에게 관리자 역할을 할당하는 대신).
  • 관리 그룹, 구독, 리소스 그룹 및 관리형 HSM에 대한 액세스를 잠급니다. Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 관리 그룹, 구독 및 리소스 그룹에 대한 액세스를 제어합니다.
  • 관리형 HSM 로컬 RBAC를 사용하여 키별 역할 할당을 만듭니다.
  • 의무 분리를 유지하려면 동일한 보안 주체에 여러 역할을 할당하지 않습니다.
  • 최소 권한 액세스 보안 주체를 사용하여 역할을 할당합니다.
  • 정확한 권한 집합을 사용하여 사용자 지정 역할 정의를 만듭니다.

백업 만들기

  • 관리형 HSM의 정기적인 백업을 만들어야 합니다.

    HSM 수준에서 특정 키에 대해 백업을 만들 수 있습니다.

로깅 켜기

복구 옵션 설정

  • 일시 삭제는 기본적으로 켜져 있습니다. 7~90일 사이의 보존 기간을 선택할 수 있습니다.

  • 제거 보호를 켜서 HSM 또는 키의 영구 삭제를 즉시 방지합니다.

    제거 보호가 관리형 HSM 또는 키에 있는 경우 보존일이 지날 때까지 삭제된 상태로 유지됩니다.

다음 단계