Key Vault için Azure güvenlik temeli
Bu güvenlik temeli, Key Vault için Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan yönergeleri uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğiniz hakkında öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Key Vault için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut portalı için Microsoft Defender sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
Key Vault uygulanamaz özellikler dışlanmıştır. Key Vault Tamamen Microsoft bulut güvenlik karşılaştırmasına nasıl eşlediğini görmek için güvenlik temeli eşleme dosyasının tamamına Key Vault bakın.
Güvenlik profili
Güvenlik profili, Key Vault yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | Güvenlik |
| Müşteri HOST/işletim sistemine erişebilir | Erişim Yok |
| Hizmet müşterinin sanal ağına dağıtılabilir | Doğru |
| Bekleyen müşteri içeriğini depolar | Doğru |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyon sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure Key Vault, anahtar kasası erişimini belirtilen bir sanal ağ ile kısıtlamanıza olanak tanıyan sanal ağ hizmet uç noktalarını destekler.
Başvuru: Azure Key Vault Ağ Güvenliği
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasını dikkate alır. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Trafiği bağlantı noktasına, protokole, kaynak IP adresine veya hedef IP adresine göre kısıtlamak veya izlemek için ağ güvenlik gruplarını (NSG) kullanın. Hizmetinizin açık bağlantı noktalarını kısıtlamak için NSG kuralları oluşturun (örneğin, yönetim bağlantı noktalarına güvenilmeyen ağlardan erişilmesini engelleme). NSG'lerin varsayılan olarak tüm gelen trafiği reddettiklerine ancak sanal ağ ve Azure Load Balancer'lardan gelen trafiğe izin verdiğine dikkat edin.
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Kaynaklar için özel bir erişim noktası oluşturmak üzere Azure Key Vault için özel uç noktaları dağıtın.
Başvuru: Azure Key Vault Özel Bağlantı
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure Key Vault güvenlik duvarı IP filtreleme kurallarını kullanarak genel ağ erişimini devre dışı bırakın.
Başvuru: Azure Key Vault ağ güvenliği
Bulut izleme için Microsoft Defender
Azure İlkesi yerleşik tanımları - Microsoft.KeyVault:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Azure Key Vault güvenlik duvarı etkinleştirilmelidir | Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlamak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security | Denetim, Reddetme, Devre Dışı | 3.2.1 |
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
Veri Düzlemi Erişimi için Azure AD Kimlik Doğrulaması Gerekiyor
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasının kullanılmasını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure Key Vault kimlik doğrulaması
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Mümkün olduğunda, Azure Active Directory (Azure AD) kimlik doğrulamasını destekleyen Azure hizmetleri ve kaynaklarında kimlik doğrulaması yapabilen hizmet sorumluları yerine Azure yönetilen kimliklerini kullanın. Yönetilen kimlik kimlik bilgileri platform tarafından tam olarak yönetilir, döndürülür ve korunur ve kaynak kodunda veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgilerini önler.
Başvuru: Azure Key Vault kimlik doğrulaması
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Ek Rehberlik: Hizmet sorumluları yerine yönetilen kimliklerin kullanılması önerilir. Hizmet sorumlularının kullanılması gerektiğinde, kullanımı kullanıcı tabanlı olmayan erişimin gerekli olduğu ve otomasyon akışları veya üçüncü taraf sistem tümleştirmeleri gibi yönetilen kimliklerin desteklenmediği durum senaryoları kullanacak şekilde sınırlayın.
Başvuru: Azure Key Vault kimlik doğrulaması
IM-7: Koşullara göre kaynak erişimini kısıtlama
Özellikler
Veri Düzlemi için Koşullu Erişim
Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: İş yükünde Azure Active Directory (Azure AD) koşullu erişimi için geçerli koşulları ve ölçütleri tanımlayın. Belirli konumlardan erişimi engelleme veya verme, riskli oturum açma davranışını engelleme veya belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme gibi yaygın kullanım durumlarını göz önünde bulundurun.
Başvuru: Azure Key Vault koşullu erişim
IM-8: Kimlik bilgilerinin ve gizli dizilerin açığa çıkarmasını kısıtlama
Özellikler
Azure Key Vault'de Hizmet Kimlik Bilgileri ve Gizli Diziler Tümleştirme ve Depolama desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault yerel kullanımını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Gizli dizileri ve kimlik bilgilerini kod veya yapılandırma dosyalarına eklemek yerine Azure Key Vault gibi güvenli konumlarda depolandığından emin olun.
Başvuru: Azure Key Vault gizli dizileri hakkında
Ayrıcalıklı erişim
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırın ve sınırlayın
Özellikler
Yerel Yönetici Hesapları
Açıklama: Hizmet, yerel yönetim hesabı kavramına sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Azure Role-Based Access Control (Azure RBAC), hizmetin veri düzlemi eylemlerine yönetilen erişim için kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Yerleşik rol atamaları aracılığıyla Azure kaynak erişimini yönetmek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın. Azure RBAC rolleri kullanıcılara, gruplara, hizmet sorumlularına ve yönetilen kimliklere atanabilir.
Başvuru: Azure Key Vault RBAC desteği
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
AktarımDaki Veriler Şifrelemesi
Açıklama: Hizmet, veri düzlemi için aktarım sırasında veri şifrelemesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Ek Rehberlik: Azure Platformu tarafından yönetildiğinden ek yapılandırma gerekmez
Başvuru: Azure Key Vault güvenlik özellikleri
DP-4: Bekleyen verileri varsayılan olarak şifrelemeyi etkinleştirme
Özellikler
Platform Anahtarlarını Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Platform anahtarları kullanılarak bekleyen verilerin şifrelenmesi desteklenir, bekleyen tüm müşteri içerikleri bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure Key Vault gizli dizilerin ve anahtarların güvenli depoları
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak bekleyen veriler şifrelemesi, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure Key Vault, müşteri tarafından yönetilen anahtar (CMK) şifrelemesi için anahtarlarınızı depoladığınız yerdir. CMK çözümünüz için yazılım korumalı anahtarları veya HSM (donanım güvenlik modülü) korumalı anahtarları kullanma seçeneğiniz vardır.
Not: Müşteri tarafından yönetilen anahtar ve HSM ayrıntıları için lütfen şunlara bakın: https://techcommunity.microsoft.com/t5/azure-confidential-computing/azure-key-vault-managed-hsm-control-your-data-in-the-cloud/ba-p/3359310
Başvuru: Azure Key Vault gizli dizilerin ve anahtarların güvenli depoları
DP-6: Güvenli bir anahtar yönetimi işlemi kullanma
Özellikler
Azure Key Vault'de Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Anahtar kasasında anahtar yaşam döngünüzü güvenli bir şekilde yönetmek için Azure Key Vault en iyi yöntemlerini izleyin. Bu anahtar oluşturma, dağıtım, depolama, döndürme ve iptali içerir.
Başvuru: Azure Key Vault anahtar yönetimi
Bulut izleme için Microsoft Defender
Azure İlkesi yerleşik tanımları - Microsoft.KeyVault:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Key Vault anahtarların son kullanma tarihi olmalıdır | Şifreleme anahtarlarının tanımlı bir son kullanma tarihi olmalıdır ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan anahtarlar, olası bir saldırgana anahtarın güvenliğini aşması için daha fazla zaman sağlar. Şifreleme anahtarlarında son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
Özellikler
Azure Key Vault'da Sertifika Yönetimi
Açıklama: Hizmet, tüm müşteri sertifikaları için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Anahtar kasasında sertifika yaşam döngünüzü güvenli bir şekilde yönetmek için Azure Key Vault en iyi uygulamasını izleyin. Bu anahtar oluşturma/içeri aktarma, döndürme, iptal etme, depolama ve sertifikayı temizlemeyi içerir.
Başvuru: Azure Key Vault sertifika yönetimi
Bulut izleme için Microsoft Defender
Azure İlkesi yerleşik tanımları - Microsoft.KeyVault:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Sertifikalar belirtilen en yüksek geçerlilik süresine sahip olmalıdır | Bir sertifikanın anahtar kasanızda geçerli olabileceği en uzun süreyi belirterek kurumsal uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre dışı | 2.2.1 |
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
AM-2: Yalnızca onaylı hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure Key Vault yapılandırmalarınızı denetlemek ve zorunlu kılmak üzere Azure İlkesi yapılandırmak üzere Bulut için Microsoft Defender kullanın. Kaynaklarda bir yapılandırma sapması algılandığında uyarılar oluşturmak için Azure İzleyici'yi kullanın. Azure kaynakları arasında güvenli yapılandırmayı zorlamak için Azure İlkesi [deny] ve [deploy if not exists] efektlerini kullanın.
Başvuru: Azure Key Vault ilkesi
Günlüğe kaydetme ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Hizmet için Microsoft Defender / Ürün Teklifi
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarı vermek için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Key Vault için Microsoft Defender uyarı aldığınızda Key Vault için Microsoft Defender etkinleştirin, uyarıyı araştırın ve yanıt verin.
Başvuru: Azure Key Vault için Microsoft Defender
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya log analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Anahtar kasanız için kaynak günlüklerini etkinleştirin. Azure Key Vault için kaynak günlükleri anahtar oluşturma, alma ve silme gibi anahtar işlemi etkinliklerini günlüğe kaydedebilir.
Başvuru: Azure Key Vault günlüğü
Yedekleme ve kurtarma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Hizmet Yerel Yedekleme Özelliği
Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Ek Rehberlik: Gizli dizilerinizi, anahtarlarınızı ve sertifikalarınızı yedeklemek ve yedekleme verilerini kullanarak hizmetin kurtarılabilir olduğundan emin olmak için Azure Key Vault yerel yedekleme özelliğini kullanın.
Başvuru: Azure Key Vault yedeklemesi
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin