Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Key Vault protegge chiavi crittografiche, certificati, nonché le chiavi private associate ai certificati, e segreti (ad esempio stringhe di connessione e password) nel cloud. Quando si archiviano dati sensibili e critici per l'azienda, tuttavia, è necessario adottare misure per massimizzare la sicurezza delle casseforti e dei dati archiviati in esse.
Le raccomandazioni sulla sicurezza in questo articolo implementano i principi Zero Trust: "Verificare in modo esplicito", "Usare l'accesso con privilegi minimi" e "Presupporre violazione". Per indicazioni complete su Zero Trust, vedere Zero Trust Guidance Center.
Questo articolo fornisce raccomandazioni sulla sicurezza per proteggere la distribuzione di Azure Key Vault.
Sicurezza specifica del servizio
Azure Key Vault ha considerazioni di sicurezza univoche relative all'architettura della cassaforte e all'uso appropriato del servizio per l'archiviazione di materiali crittografici.
Usare un insieme di credenziali delle chiavi per applicazione, area e ambiente: creare insiemi di credenziali delle chiavi separati per ambienti di sviluppo, preproduzione e produzione per ridurre l'impatto delle violazioni.
Gli insiemi di credenziali delle chiavi definiscono i limiti di sicurezza per i segreti archiviati. Il raggruppamento dei segreti nello stesso insieme di credenziali aumenta il raggio d'attacco di un evento di sicurezza perché gli attacchi potrebbero essere in grado di accedere ai segreti in tutti i contesti. Per ridurre l'accesso ai vari contesti, considerare i segreti a cui un'applicazione specifica deve avere accesso e quindi separare gli insiemi di credenziali delle chiavi in base a questa delineazione. La separazione degli insiemi di credenziali delle chiavi per applicazione è il limite più comune. I limiti di sicurezza, tuttavia, possono essere più granulari per applicazioni di grandi dimensioni, ad esempio per ogni gruppo di servizi correlati.
Utilizzare un Key Vault per tenant nelle soluzioni multi-tenant: per le soluzioni SaaS multi-tenant, usare un Key Vault separato per ogni tenant per mantenere l'isolamento dei dati. Questo approccio offre un isolamento sicuro dei dati e dei carichi di lavoro dei clienti. Per altre informazioni, vedere Multitenancy e Azure Key Vault.
Non usare Key Vault come archivio dati per la configurazione del cliente o del servizio: i servizi devono usare Archiviazione di Azure con crittografia dei dati inattivi o Configurazione app di Azure. Queste opzioni sono più efficienti per gli scenari di configurazione.
Non archiviare certificati (di proprietà del cliente o del servizio) come segreti: archiviare i certificati di proprietà del servizio come certificati Key Vault e configurarli per l'autorotazione. Per ulteriori informazioni, vedere Azure Key Vault: Certificati e Comprendere l'autorotazione in Azure Key Vault.
Non archiviare i contenuti dei clienti in Key Vault: Key Vault non è un archivio di dati e non è progettato per offrire la stessa scalabilità. Usare invece Azure Cosmos DB o Archiviazione di Azure. I clienti che desiderano usare Bring Your Own Key (BYOK) per la crittografia dei dati archiviati possono archiviare la chiave di wrapping in Azure Key Vault e usarla per crittografare i dati in Archiviazione di Azure.
Sicurezza di rete
La riduzione dell'esposizione alla rete è fondamentale per proteggere Azure Key Vault dall'accesso non autorizzato. Configurare le restrizioni di rete in base ai requisiti e al caso d'uso dell'organizzazione. Per informazioni dettagliate e istruzioni dettagliate sulla configurazione, vedere Configurare la sicurezza di rete per Azure Key Vault.
Queste funzionalità di sicurezza di rete sono elencate dalla maggior parte delle funzionalità limitate alle funzionalità meno limitate. Scegliere la configurazione più adatta al caso d'uso dell'organizzazione.
Disabilitare l'accesso alla rete pubblica e usare solo Endpoint privati: distribuire collegamento privato di Azure per stabilire un punto di accesso privato da una rete virtuale ad Azure Key Vault e impedire l'esposizione all'internet pubblico. La disabilitazione dell'accesso pubblico blocca le connessioni del piano dati; i record DNS pubblici dell'insieme di credenziali rimangono risolvibili per progettazione (vedere Visibilità DNS pubblica di un insieme di credenziali delle chiavi privato). Per i passaggi di implementazione, vedere Integrare Key Vault con collegamento privato di Azure.
- Alcuni scenari dei clienti richiedono servizi Microsoft attendibili per eludere il firewall; in questi casi potrebbe essere necessario configurare il servizio di archiviazione per consentire i Servizi Microsoft Attendibili. Per l'elenco corrente dei servizi che ignorano il firewall quando questa opzione è abilitata, vedere Servizi attendibili. Il bypass continua a essere applicato quando l'accesso pubblico è disabilitato. Per indicazioni dettagliate, vedere Configurare la sicurezza di rete: Key Vault Firewall abilitato (solo servizi attendibili).
Abilitare il Firewall di Key Vault: limitare l'accesso agli indirizzi IP statici pubblici o alle reti virtuali. Per informazioni dettagliate, vedere Configurare la sicurezza di rete: impostazioni del firewall.
- Alcuni scenari dei clienti richiedono servizi Microsoft attendibili per eludere il firewall; in questi casi potrebbe essere necessario configurare il servizio di archiviazione per consentire i Servizi Microsoft Attendibili. Solo i servizi nella tabella Servizi attendibili sono ammessi da questa opzione; servizi Microsoft che non sono presenti nell'elenco (ad esempio, Azure DevOps) richiedono ancora una regola IP del firewall, una regola di rete virtuale o un endpoint privato.
Usare il perimetro di sicurezza di rete: definire un limite di isolamento della rete logica per le risorse PaaS (ad esempio, Azure Key Vault, Archiviazione di Azure e database SQL) distribuite all'esterno del perimetro della rete virtuale dell'organizzazione e/o indirizzi IP statici pubblici. Per informazioni dettagliate, vedere Configurare la sicurezza di rete: Perimetro di sicurezza di rete.
-
publicNetworkAccess: SecuredByPerimeteresegue l'override di "Consenti ai servizi Microsoft attendibili di ignorare il firewall", ovvero alcuni scenari che richiedono tale attendibilità non funzioneranno.
-
Applicare il controllo della versione TLS ai client: Azure Key Vault supporta TLS 1.2 e 1.3. Poiché il front-end Key Vault è un servizio multi-tenant in cui gli insiemi di credenziali di clienti diversi possono condividere lo stesso indirizzo IP pubblico, ogni richiesta HTTPS viene autenticata e autorizzata in modo indipendente. I client partecipano alla negoziazione TLS, quindi vincola i client a TLS 1.2 o 1.3 per garantire che ogni connessione utilizzi il corrispondente livello di protezione. Per altre informazioni, vedere registrazione di Key Vault per esempi di query Kusto per monitorare le versioni di TLS utilizzate dai client.
Gestione delle identità e degli accessi
Azure Key Vault usa Microsoft Entra ID per l'autenticazione. L'accesso viene controllato tramite due interfacce: il piano di controllo (per la gestione di Key Vault stesso) e il piano dati (per l'uso di chiavi, segreti e certificati). Per informazioni dettagliate sul modello di accesso e sugli endpoint, vedere Azure RBAC per le operazioni nel piano dati di Key Vault.
Abilitare le identità gestite di Azure: usare le identità gestite di Azure per tutte le connessioni di app e servizi ad Azure Key Vault per eliminare le credenziali codificate in modo statico. Le identità gestite consentono di proteggere l'autenticazione rimuovendo la necessità di credenziali esplicite. Per i metodi e gli scenari di autenticazione, vedere Autenticazione di Azure Key Vault.
Usare il controllo degli accessi in base al ruolo: utilizzare il Controllo degli accessi in base al ruolo di Azure (RBAC) per gestire l'accesso ad Azure Key Vault. Per ulteriori informazioni, consultare Azure RBAC per le operazioni del piano dati di Key Vault.
- Non usare i criteri di accesso legacy: i criteri di accesso legacy hanno vulnerabilità di sicurezza note e non supportano Privileged Identity Management (PIM). Non usarli per i dati e i carichi di lavoro critici. Il controllo degli accessi in base al ruolo di Azure riduce i potenziali rischi di accesso non autorizzato a Key Vault. Per altre informazioni, vedere controllo degli accessi in base al ruolo di Azure (Azure RBAC) e criteri di accesso (legacy).
Il modello di autorizzazione di controllo degli accessi in base al ruolo consente assegnazioni di ruolo a livello di vault per le assegnazioni di accesso continuo e idonee (Just-In-Time, JIT) per le operazioni con privilegi. Le assegnazioni a livello di oggetto supportano solo operazioni di lettura; le operazioni amministrative come il controllo dell'accesso alla rete, il monitoraggio e la gestione degli oggetti richiedono autorizzazioni a livello di vault. Per garantire l'isolamento sicuro tra i team delle applicazioni, utilizzare un Key Vault per ogni applicazione.
Assegnare ruoli con privilegi JIT (Just-In-Time): usare Azure Privileged Identity Management (PIM) per assegnare ruoli RBAC JIT di Azure destinati ad amministratori e operatori di Key Vault. Per altre informazioni, vedere panoramica di Privileged Identity Management (PIM).
- Richiedi approvazioni per l'attivazione dei ruoli con privilegi: aggiungere un ulteriore livello di sicurezza per impedire l'accesso non autorizzato assicurando che almeno un responsabile approvazione sia necessario per attivare i ruoli JIT. Per altre informazioni, vedere Configurare le impostazioni dei ruoli di Microsoft Entra in Privileged Identity Management.
- Applicare l'autenticazione a più fattori per l'attivazione dei ruoli: richiedere la MFA per attivare i ruoli JIT per operatori e amministratori. Per altre informazioni, vedere Autenticazione a più fattori di Microsoft Entra.
Abilitare i criteri di accesso condizionale di Microsoft Entra: Key Vault supporta questi criteri per applicare i controlli di accesso in base a condizioni come la posizione utente o il dispositivo. Per altre informazioni, vedere Panoramica dell'accesso condizionale.
Applicare il principio dei privilegi minimi: limitare il numero di utenti con ruoli amministrativi e assicurarsi che agli utenti vengano concesse solo le autorizzazioni minime necessarie per il proprio ruolo. Per altre informazioni, vedere Migliorare la sicurezza con il principio dei privilegi minimi.
Protezione dei dati
Per proteggere i dati archiviati in Azure Key Vault è necessario abilitare l'eliminazione temporanea, la protezione dall'eliminazione e l'implementazione della rotazione automatizzata dei materiali crittografici.
Attivare l'eliminazione temporanea: assicurarsi che l'eliminazione temporanea sia abilitata in modo da poter ripristinare gli oggetti eliminati Key Vault entro un periodo di conservazione da 7 a 90 giorni. Per altre informazioni, vedere Panoramica dell'eliminazione reversibile di Azure Key Vault.
Attiva la protezione dalla eliminazione definitiva: Abilita la protezione dalla eliminazione definitiva per evitare l'eliminazione accidentale o dannosa degli oggetti di Key Vault anche dopo l'abilitazione dell'eliminazione temporanea. Per altre informazioni, vedere Panoramica dell'eliminazione temporanea di Azure Key Vault: protezione dall'eliminazione definitiva.
Implementare l'autorotazione per gli asset di crittografia: configurare la rotazione automatica di chiavi, segreti e certificati per ridurre al minimo il rischio di compromissione e garantire la conformità ai criteri di sicurezza. La rotazione regolare dei materiali crittografici è una pratica di sicurezza critica. Per altre informazioni, vedere Informazioni sull'autorotazione in Azure Key Vault, Configurare l'autorotazione della chiave, Configurare l'autorotazione dei certificati, Automatizzare la rotazione dei segreti per le risorse con un set di credenziali di autenticazione e Automatizzare la rotazione dei segreti per le risorse con due set di credenziali di autenticazione.
Registrazione e monitoraggio
La registrazione e il monitoraggio completi consentono di rilevare attività sospette e conformità ai requisiti di controllo.
Abilitare la registrazione di controllo: la registrazione di Key Vault salva le informazioni sulle operazioni eseguite nell'insieme di credenziali. Per altre informazioni, vedi registrazione di Key Vault.
Abilitare Microsoft Defender per Key Vault: abilitare Microsoft Defender per Key Vault per monitorare la ricerca e gli avvisi relativi alle attività sospette. Per altre informazioni, vedi Introduzione a Microsoft Defender per Key Vault.
Abilitare gli avvisi di log per gli eventi di sicurezza: configurare gli avvisi per ricevere una notifica quando vengono registrati eventi critici, ad esempio errori di accesso o eliminazioni dei segreti. Per altre informazioni, vedere Monitoraggio e avvisi per Azure Key Vault.
Monitoraggio e avviso: integrare Key Vault con Griglia di eventi per ricevere notifiche sulle modifiche apportate a chiavi, certificati o segreti. Per altre informazioni, vedere Monitoraggio Key Vault con Griglia di eventi di Azure.
Conformità e governance
Controlli di conformità e criteri di governance regolari assicurano che la distribuzione di Key Vault rispetti gli standard di sicurezza e i requisiti dell'organizzazione.
- Usare Criteri di Azure per applicare la configurazione: configurare Criteri di Azure per controllare e applicare configurazioni sicure per Azure Key Vault e configurare avvisi per le deviazioni dai criteri. Per altre informazioni, vedere Criteri di Azure controlli di conformità alle normative per Azure Key Vault.
Backup e ripristino
I backup regolari garantiscono la continuità aziendale e proteggono dalla perdita di dati da eliminazioni accidentali o dannose.
Abilitare il backup nativo per Azure Key Vault: configurare e usare la funzionalità di backup nativo di Azure Key Vault per eseguire il backup di segreti, chiavi e certificati, garantendo la recuperabilità. Per altre informazioni, vedere Azure Key Vault backup.
Assicurarsi di eseguire il backup dei segreti che non possono essere ricreati: eseguire il backup degli oggetti Key Vault (ad esempio chiavi di crittografia) che non possono essere ricreati da altre origini. Per altre informazioni, vedere Azure Key Vault backup.
Testare le procedure di backup e ripristino: per verificare l'efficacia dei processi di backup, testare regolarmente il ripristino di segreti, chiavi e certificati di Key Vault. Per altre informazioni, vedere Azure Key Vault backup.
Informazioni sull'indipendenza della copia di backup: una chiave ripristinata da un backup in un altro vault è completamente indipendente dall'originale. La disabilitazione, l'eliminazione o la cancellazione della chiave originale non influisce sulle copie ripristinate. La disabilitazione o l'eliminazione della chiave comporta anche la modalità offline di tutti i servizi dati dipendenti( ad esempio, i database TDE SQL diventano inaccessibili e gli account di archiviazione con chiavi gestite dal cliente restituiscono errori). Se si sospetta che una chiave sia compromessa, passare a una nuova chiave ed eseguire la migrazione dei servizi dipendenti prima di disattivare quella precedente. Per informazioni dettagliate, vedere Considerazioni sulla sicurezza del backup e Risposta alla compromissione delle chiavi.
Articoli sulla sicurezza correlati
Per le procedure consigliate di sicurezza specifiche per chiavi, segreti e certificati, vedere:
- Proteggere le chiavi di Azure Key Vault: procedure consigliate per la sicurezza specifiche delle chiavi, tra cui rotazione, protezione HSM e BYOK.
- Proteggere i segreti Azure Key Vault: procedure consigliate per la sicurezza specifiche dei segreti, tra cui rotazione, memorizzazione nella cache e monitoraggio.
- Proteggere i certificati Azure Key Vault: procedure consigliate per la sicurezza specifiche dei certificati, tra cui la gestione del ciclo di vita, il rinnovo e l'integrazione della CA.