Metti in sicurezza il tuo Azure Key Vault

Azure Key Vault protegge chiavi crittografiche, certificati, nonché le chiavi private associate ai certificati, e segreti (ad esempio stringhe di connessione e password) nel cloud. Quando si archiviano dati sensibili e critici per l'azienda, tuttavia, è necessario adottare misure per massimizzare la sicurezza delle casseforti e dei dati archiviati in esse.

Le raccomandazioni sulla sicurezza in questo articolo implementano i principi Zero Trust: "Verificare in modo esplicito", "Usare l'accesso con privilegi minimi" e "Presupporre violazione". Per indicazioni complete su Zero Trust, vedere Zero Trust Guidance Center.

Questo articolo fornisce raccomandazioni sulla sicurezza per proteggere la distribuzione di Azure Key Vault.

Sicurezza specifica del servizio

Azure Key Vault ha considerazioni di sicurezza univoche relative all'architettura della cassaforte e all'uso appropriato del servizio per l'archiviazione di materiali crittografici.

  • Usare un insieme di credenziali delle chiavi per applicazione, area e ambiente: creare insiemi di credenziali delle chiavi separati per ambienti di sviluppo, preproduzione e produzione per ridurre l'impatto delle violazioni.

    Gli insiemi di credenziali delle chiavi definiscono i limiti di sicurezza per i segreti archiviati. Il raggruppamento dei segreti nello stesso insieme di credenziali aumenta il raggio d'attacco di un evento di sicurezza perché gli attacchi potrebbero essere in grado di accedere ai segreti in tutti i contesti. Per ridurre l'accesso ai vari contesti, considerare i segreti a cui un'applicazione specifica deve avere accesso e quindi separare gli insiemi di credenziali delle chiavi in base a questa delineazione. La separazione degli insiemi di credenziali delle chiavi per applicazione è il limite più comune. I limiti di sicurezza, tuttavia, possono essere più granulari per applicazioni di grandi dimensioni, ad esempio per ogni gruppo di servizi correlati.

  • Utilizzare un Key Vault per tenant nelle soluzioni multi-tenant: per le soluzioni SaaS multi-tenant, usare un Key Vault separato per ogni tenant per mantenere l'isolamento dei dati. Questo approccio offre un isolamento sicuro dei dati e dei carichi di lavoro dei clienti. Per altre informazioni, vedere Multitenancy e Azure Key Vault.

  • Non usare Key Vault come archivio dati per la configurazione del cliente o del servizio: i servizi devono usare Archiviazione di Azure con crittografia dei dati inattivi o Configurazione app di Azure. Queste opzioni sono più efficienti per gli scenari di configurazione.

  • Non archiviare certificati (di proprietà del cliente o del servizio) come segreti: archiviare i certificati di proprietà del servizio come certificati Key Vault e configurarli per l'autorotazione. Per ulteriori informazioni, vedere Azure Key Vault: Certificati e Comprendere l'autorotazione in Azure Key Vault.

  • Non archiviare i contenuti dei clienti in Key Vault: Key Vault non è un archivio di dati e non è progettato per offrire la stessa scalabilità. Usare invece Azure Cosmos DB o Archiviazione di Azure. I clienti che desiderano usare Bring Your Own Key (BYOK) per la crittografia dei dati archiviati possono archiviare la chiave di wrapping in Azure Key Vault e usarla per crittografare i dati in Archiviazione di Azure.

Sicurezza di rete

La riduzione dell'esposizione alla rete è fondamentale per proteggere Azure Key Vault dall'accesso non autorizzato. Configurare le restrizioni di rete in base ai requisiti e al caso d'uso dell'organizzazione. Per informazioni dettagliate e istruzioni dettagliate sulla configurazione, vedere Configurare la sicurezza di rete per Azure Key Vault.

Queste funzionalità di sicurezza di rete sono elencate dalla maggior parte delle funzionalità limitate alle funzionalità meno limitate. Scegliere la configurazione più adatta al caso d'uso dell'organizzazione.

  • Disabilitare l'accesso alla rete pubblica e usare solo Endpoint privati: distribuire collegamento privato di Azure per stabilire un punto di accesso privato da una rete virtuale ad Azure Key Vault e impedire l'esposizione all'internet pubblico. La disabilitazione dell'accesso pubblico blocca le connessioni del piano dati; i record DNS pubblici dell'insieme di credenziali rimangono risolvibili per progettazione (vedere Visibilità DNS pubblica di un insieme di credenziali delle chiavi privato). Per i passaggi di implementazione, vedere Integrare Key Vault con collegamento privato di Azure.

    • Alcuni scenari dei clienti richiedono servizi Microsoft attendibili per eludere il firewall; in questi casi potrebbe essere necessario configurare il servizio di archiviazione per consentire i Servizi Microsoft Attendibili. Per l'elenco corrente dei servizi che ignorano il firewall quando questa opzione è abilitata, vedere Servizi attendibili. Il bypass continua a essere applicato quando l'accesso pubblico è disabilitato. Per indicazioni dettagliate, vedere Configurare la sicurezza di rete: Key Vault Firewall abilitato (solo servizi attendibili).
  • Abilitare il Firewall di Key Vault: limitare l'accesso agli indirizzi IP statici pubblici o alle reti virtuali. Per informazioni dettagliate, vedere Configurare la sicurezza di rete: impostazioni del firewall.

    • Alcuni scenari dei clienti richiedono servizi Microsoft attendibili per eludere il firewall; in questi casi potrebbe essere necessario configurare il servizio di archiviazione per consentire i Servizi Microsoft Attendibili. Solo i servizi nella tabella Servizi attendibili sono ammessi da questa opzione; servizi Microsoft che non sono presenti nell'elenco (ad esempio, Azure DevOps) richiedono ancora una regola IP del firewall, una regola di rete virtuale o un endpoint privato.
  • Usare il perimetro di sicurezza di rete: definire un limite di isolamento della rete logica per le risorse PaaS (ad esempio, Azure Key Vault, Archiviazione di Azure e database SQL) distribuite all'esterno del perimetro della rete virtuale dell'organizzazione e/o indirizzi IP statici pubblici. Per informazioni dettagliate, vedere Configurare la sicurezza di rete: Perimetro di sicurezza di rete.

    • publicNetworkAccess: SecuredByPerimeter esegue l'override di "Consenti ai servizi Microsoft attendibili di ignorare il firewall", ovvero alcuni scenari che richiedono tale attendibilità non funzioneranno.
  • Applicare il controllo della versione TLS ai client: Azure Key Vault supporta TLS 1.2 e 1.3. Poiché il front-end Key Vault è un servizio multi-tenant in cui gli insiemi di credenziali di clienti diversi possono condividere lo stesso indirizzo IP pubblico, ogni richiesta HTTPS viene autenticata e autorizzata in modo indipendente. I client partecipano alla negoziazione TLS, quindi vincola i client a TLS 1.2 o 1.3 per garantire che ogni connessione utilizzi il corrispondente livello di protezione. Per altre informazioni, vedere registrazione di Key Vault per esempi di query Kusto per monitorare le versioni di TLS utilizzate dai client.

Gestione delle identità e degli accessi

Azure Key Vault usa Microsoft Entra ID per l'autenticazione. L'accesso viene controllato tramite due interfacce: il piano di controllo (per la gestione di Key Vault stesso) e il piano dati (per l'uso di chiavi, segreti e certificati). Per informazioni dettagliate sul modello di accesso e sugli endpoint, vedere Azure RBAC per le operazioni nel piano dati di Key Vault.

  • Abilitare le identità gestite di Azure: usare le identità gestite di Azure per tutte le connessioni di app e servizi ad Azure Key Vault per eliminare le credenziali codificate in modo statico. Le identità gestite consentono di proteggere l'autenticazione rimuovendo la necessità di credenziali esplicite. Per i metodi e gli scenari di autenticazione, vedere Autenticazione di Azure Key Vault.

  • Usare il controllo degli accessi in base al ruolo: utilizzare il Controllo degli accessi in base al ruolo di Azure (RBAC) per gestire l'accesso ad Azure Key Vault. Per ulteriori informazioni, consultare Azure RBAC per le operazioni del piano dati di Key Vault.

    • Non usare i criteri di accesso legacy: i criteri di accesso legacy hanno vulnerabilità di sicurezza note e non supportano Privileged Identity Management (PIM). Non usarli per i dati e i carichi di lavoro critici. Il controllo degli accessi in base al ruolo di Azure riduce i potenziali rischi di accesso non autorizzato a Key Vault. Per altre informazioni, vedere controllo degli accessi in base al ruolo di Azure (Azure RBAC) e criteri di accesso (legacy).

    Il modello di autorizzazione di controllo degli accessi in base al ruolo consente assegnazioni di ruolo a livello di vault per le assegnazioni di accesso continuo e idonee (Just-In-Time, JIT) per le operazioni con privilegi. Le assegnazioni a livello di oggetto supportano solo operazioni di lettura; le operazioni amministrative come il controllo dell'accesso alla rete, il monitoraggio e la gestione degli oggetti richiedono autorizzazioni a livello di vault. Per garantire l'isolamento sicuro tra i team delle applicazioni, utilizzare un Key Vault per ogni applicazione.

  • Assegnare ruoli con privilegi JIT (Just-In-Time): usare Azure Privileged Identity Management (PIM) per assegnare ruoli RBAC JIT di Azure destinati ad amministratori e operatori di Key Vault. Per altre informazioni, vedere panoramica di Privileged Identity Management (PIM).

  • Abilitare i criteri di accesso condizionale di Microsoft Entra: Key Vault supporta questi criteri per applicare i controlli di accesso in base a condizioni come la posizione utente o il dispositivo. Per altre informazioni, vedere Panoramica dell'accesso condizionale.

  • Applicare il principio dei privilegi minimi: limitare il numero di utenti con ruoli amministrativi e assicurarsi che agli utenti vengano concesse solo le autorizzazioni minime necessarie per il proprio ruolo. Per altre informazioni, vedere Migliorare la sicurezza con il principio dei privilegi minimi.

Protezione dei dati

Per proteggere i dati archiviati in Azure Key Vault è necessario abilitare l'eliminazione temporanea, la protezione dall'eliminazione e l'implementazione della rotazione automatizzata dei materiali crittografici.

Registrazione e monitoraggio

La registrazione e il monitoraggio completi consentono di rilevare attività sospette e conformità ai requisiti di controllo.

  • Abilitare la registrazione di controllo: la registrazione di Key Vault salva le informazioni sulle operazioni eseguite nell'insieme di credenziali. Per altre informazioni, vedi registrazione di Key Vault.

  • Abilitare Microsoft Defender per Key Vault: abilitare Microsoft Defender per Key Vault per monitorare la ricerca e gli avvisi relativi alle attività sospette. Per altre informazioni, vedi Introduzione a Microsoft Defender per Key Vault.

  • Abilitare gli avvisi di log per gli eventi di sicurezza: configurare gli avvisi per ricevere una notifica quando vengono registrati eventi critici, ad esempio errori di accesso o eliminazioni dei segreti. Per altre informazioni, vedere Monitoraggio e avvisi per Azure Key Vault.

  • Monitoraggio e avviso: integrare Key Vault con Griglia di eventi per ricevere notifiche sulle modifiche apportate a chiavi, certificati o segreti. Per altre informazioni, vedere Monitoraggio Key Vault con Griglia di eventi di Azure.

Conformità e governance

Controlli di conformità e criteri di governance regolari assicurano che la distribuzione di Key Vault rispetti gli standard di sicurezza e i requisiti dell'organizzazione.

Backup e ripristino

I backup regolari garantiscono la continuità aziendale e proteggono dalla perdita di dati da eliminazioni accidentali o dannose.

  • Abilitare il backup nativo per Azure Key Vault: configurare e usare la funzionalità di backup nativo di Azure Key Vault per eseguire il backup di segreti, chiavi e certificati, garantendo la recuperabilità. Per altre informazioni, vedere Azure Key Vault backup.

  • Assicurarsi di eseguire il backup dei segreti che non possono essere ricreati: eseguire il backup degli oggetti Key Vault (ad esempio chiavi di crittografia) che non possono essere ricreati da altre origini. Per altre informazioni, vedere Azure Key Vault backup.

  • Testare le procedure di backup e ripristino: per verificare l'efficacia dei processi di backup, testare regolarmente il ripristino di segreti, chiavi e certificati di Key Vault. Per altre informazioni, vedere Azure Key Vault backup.

  • Informazioni sull'indipendenza della copia di backup: una chiave ripristinata da un backup in un altro vault è completamente indipendente dall'originale. La disabilitazione, l'eliminazione o la cancellazione della chiave originale non influisce sulle copie ripristinate. La disabilitazione o l'eliminazione della chiave comporta anche la modalità offline di tutti i servizi dati dipendenti( ad esempio, i database TDE SQL diventano inaccessibili e gli account di archiviazione con chiavi gestite dal cliente restituiscono errori). Se si sospetta che una chiave sia compromessa, passare a una nuova chiave ed eseguire la migrazione dei servizi dipendenti prima di disattivare quella precedente. Per informazioni dettagliate, vedere Considerazioni sulla sicurezza del backup e Risposta alla compromissione delle chiavi.

Per le procedure consigliate di sicurezza specifiche per chiavi, segreti e certificati, vedere:

Passaggi successivi