Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf Key Vault an. Der Microsoft Cloud Security Benchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure sichern können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security Benchmark und die zugehörigen Anleitungen für Key Vault definiert sind.
Sie können diese Sicherheitsbasislinie und ihre Empfehlungen mithilfe von Microsoft Defender für Cloud überwachen. Azure Policy-Definitionen werden im Abschnitt „Einhaltung gesetzlicher Bestimmungen“ der Microsoft Defender for Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure-Richtliniendefinitionen verfügt, werden sie in diesem Basisplan aufgeführt, um die Einhaltung der Microsoft Cloud Security Benchmark-Kontrollen und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarien zu aktivieren.
Hinweis
Features die nicht für Key Vault gelten, wurden ausgeschlossen. Informationen dazu, wie Key Vault dem Microsoft Cloud Security Benchmark vollständig zugeordnet ist, finden Sie in der vollständigen Key Vault-Sicherheitsbasisplanzuordnungsdatei.
Sicherheitsprofil
Das Sicherheitsprofil fasst die hochwirksamen Verhaltensweisen von Key Vault zusammen, die zu zusätzlichen Sicherheitsüberlegungen führen können.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Sicherheit |
| Kunde kann auf HOST/Betriebssystem zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | Richtig |
| Speichert ruhende Kundeninhalte | Richtig |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Netzwerksegmentierungsgrenzen
Features
Integration virtueller Netzwerke
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Azure Key Vault unterstützt Endpunkte für virtuelle Netzwerke, mit denen Sie den Schlüsseltresorzugriff auf ein angegebenes virtuelles Netzwerk einschränken können.
Referenz: Azure Key Vault Network Security
Netzwerksicherheitsgruppenunterstützung
Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisungen der Netzwerksicherheitsgruppen in seinen Subnetzen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Verwenden von Netzwerksicherheitsgruppen (Network Security Groups, NSG) zum Einschränken oder Überwachen des Datenverkehrs nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. verhindern, dass auf Verwaltungsports von nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, aber datenverkehr von virtuellen Netzwerken und Azure Load Balancers zulassen.
NS-2: Sichern von Clouddiensten mit Netzwerksteuerelementen
Features
Azure Private Link
Beschreibung: Diensteigene IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Bereitstellen privater Endpunkte für Azure Key Vault, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.
Referenz: Azure Key Vault Private Link
Öffentliches Netzwerkzugriff deaktivieren
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschalters "Öffentlichen Netzwerkzugriff deaktivieren". Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Deaktivieren des öffentlichen Netzwerkzugriffs mithilfe der IP-Filterregeln der Azure Key Vault-Firewall.
Referenz: Azure Key Vault-Netzwerksicherheit
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.KeyVault:
| Name (Azure-Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Key Vault sollte die Firewall aktiviert haben | Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security | Überprüfen, Verweigern, Deaktiviert | 3.2.1 |
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Features
Azure AD-Authentifizierung erforderlich für den Datenebenenzugriff
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebenen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Azure Key Vault-Authentifizierung
Lokale Authentifizierungsmethoden für den Datenebenenzugriff
Beschreibung: Lokale Authentifizierungsmethoden, die für den Datenebenenzugriff unterstützt werden, z. B. einen lokalen Benutzernamen und ein Kennwort. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Features
Verwaltete Identitäten
Beschreibung: Datenebenenaktionen unterstützen die Authentifizierung mithilfe von verwalteten Identitäten. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Verwenden Sie verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory(Azure AD)-Authentifizierung unterstützen. Verwaltete Identitätsanmeldeinformationen werden von der Plattform vollständig verwaltet, regelmäßig geändert und geschützt, wodurch hartcodierte Anmeldeinformationen in Quellcode- oder Konfigurationsdateien vermieden werden.
Referenz: Azure Key Vault-Authentifizierung
Dienstprinzipale
Beschreibung: Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Zusätzliche Anleitungen: Es wird empfohlen, verwaltete Identitäten anstelle von Dienstprinzipalen zu verwenden. Wenn Dienstprinzipale verwendet werden müssen, beschränken Sie die Verwendung auf Szenarien, in denen kein benutzerbasierter Zugriff erforderlich ist, und verwaltete Identitäten werden nicht unterstützt, z. B. Automatisierungsflüsse oder Systemintegrationen von Drittanbietern.
Referenz: Azure Key Vault-Authentifizierung
IM-7: Einschränken des Zugriffs auf Ressourcen basierend auf Bedingungen
Features
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf datenebenen kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Zugriff in Azure Active Directory (Azure AD) in der Workload. Erwägen Sie häufige Anwendungsfälle, z. B. das Blockieren oder Gewähren des Zugriffs von bestimmten Speicherorten, das Blockieren des risikobehafteten Anmeldeverhaltens oder das Erfordern von durch die Organisation verwalteten Geräten für bestimmte Anwendungen.
Referenz: Bedingter Zugriff auf Azure Key Vault
IM-8: Einschränken der Offenlegung von Anmeldeinformationen und geheimen Schlüsseln
Features
Dienstanmeldeinformationen und Geheimnisse: Unterstützung von Integration und Speicherung in Azure Key Vault
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und geheimen Speicher. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Stellen Sie sicher, dass geheime Schlüssel und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Referenz: Informationen zu geheimen Azure Key Vault-Schlüsseln
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Benutzer mit hohen Privilegien oder Administratorrechte trennen und einschränken.
Features
Lokale Administratorkonten
Beschreibung: Der Dienst hat das Konzept eines lokalen Verwaltungskontos. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-7: Befolgen Sie das Prinzip der minimalen Verwaltung (Prinzip des geringsten Privilegs)
Features
Azure RBAC für die Verwaltungsebene der Daten
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann zum verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Verwenden der rollenbasierten Azure-Zugriffssteuerung (Azure RBAC) zum Verwalten des Azure-Ressourcenzugriffs über integrierte Rollenzuweisungen. Azure RBAC-Rollen können Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten zugewiesen werden.
Referenz: Azure Key Vault RBAC-Unterstützung
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-3: Verschlüsseln Sie vertrauliche Daten während der Übertragung
Features
Daten in der Transitverschlüsselung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten im Transit für die Datenebene. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Zusätzliche Anleitung: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies von Azure Platform verwaltet wird.
Referenz: Azure Key Vault-Sicherheitsfeatures
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Features
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Sicherer Speicher von Geheimschlüsseln und Schlüsseln in Azure Key Vault
DP-5: Bei Bedarf die Option eines kundenseitig verwalteten Schlüssels für die Verschlüsselung ruhender Daten verwenden.
Features
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Azure Key Vault speichert Ihre Schlüssel für die CMK-Verschlüsselung (Customer-Managed Key). Sie haben die Möglichkeit, softwaregeschützte Schlüssel oder HSM(Hardwaresicherheitsmodul)-geschützte Schlüssel für Ihre CMK-Lösung zu verwenden.
Hinweis: Informationen zu vom Kunden verwalteten Schlüsseln und HSM finden Sie unter: https://techcommunity.microsoft.com/t5/azure-confidential-computing/azure-key-vault-managed-hsm-control-your-data-in-the-cloud/ba-p/3359310
Referenz: Sicherer Speicher von Geheimschlüsseln und Schlüsseln in Azure Key Vault
DP-6: Verwenden eines Sicheren Schlüsselverwaltungsprozesses
Features
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, geheimen Schlüssel oder Zertifikate. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Befolgen Sie die bewährten Methoden von Azure Key Vault, um Ihren Schlüssellebenszyklus im Key Vault sicher zu verwalten. Dazu gehören die Schlüsselgenerierung, Verteilung, Speicherung, Rotation und Widerruf.
Referenz: Azure Key Vault-Schlüsselverwaltung
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.KeyVault:
| Name (Azure-Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. | Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. | Überprüfen, Verweigern, Deaktiviert | 1.0.2 |
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Features
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenzertifikate. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Befolgen Sie die bewährte Methode von Azure Key Vault, um Ihren Zertifikatlebenszyklus im Schlüsseltresor sicher zu verwalten. Dazu gehören die Schlüsselerstellung und -import, Rotation, Widerruf, Speicherung und Bereinigung des Zertifikats.
Referenz: Azure Key Vault-Zertifikatverwaltung
Microsoft Defender für Cloud-Überwachung
Integrierte Azure-Richtliniendefinitionen – Microsoft.KeyVault:
| Name (Azure-Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Zertifikate müssen die angegebene maximale Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne angegeben wird, für die ein Zertifikat innerhalb Ihres Schlüsseltresors gültig sein darf. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.2.1 |
Vermögensverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Nur genehmigte Dienste verwenden
Features
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure-Richtlinie überwacht und erzwungen werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihres Azure Key Vault zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn für die Ressourcen eine Konfigurationsabweichung erkannt wurde. Verwenden Sie die Effekte von Azure Policy [verweigern] und [bereitstellen, wenn nicht vorhanden], um eine sichere Konfiguration über Azure-Ressourcen hinweg zu erzwingen.
Referenz: Azure Key Vault-Richtlinie
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Features
Microsoft Defender for Service /Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Aktivieren Sie Microsoft Defender für Key Vault, wenn Sie eine Benachrichtigung von Microsoft Defender für Key Vault erhalten, die Warnung untersuchen und darauf reagieren.
Referenz: Microsoft Defender für Azure Key Vault
LT-4: Aktivieren der Protokollierung für sicherheitsrelevante Untersuchungen
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an eine eigene Datensenke schicken, z. B. ein Speicherkonto oder einen Log Analytics-Arbeitsbereich. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Konfigurationsleitfaden: Aktivieren Sie die Ressourcenprotokolle für Ihren Schlüsseltresor. Ressourcenprotokolle für Azure Key Vault können Schlüsselvorgangsaktivitäten wie die Schlüsselerstellung, das Abrufen und löschen protokollieren.
Referenz: Azure Key Vault Protokollierung
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Features
Azure Backup
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Diensteigene Sicherungsfähigkeiten
Beschreibung: Der Dienst unterstützt seine eigene systemeigene Sicherungsfunktion (wenn nicht Azure Backup verwendet wird). Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Customer |
Zusätzliche Anleitungen: Verwenden Sie das systemeigene Sicherungsfeature von Azure Key Vault, um Ihre geheimen Schlüssel, Schlüssel und Zertifikate zu sichern und sicherzustellen, dass der Dienst mithilfe der Sicherungsdaten wiederhergestellt werden kann.
Referenz: Azure Key Vault-Sicherung
Nächste Schritte
- Siehe Übersicht über die Microsoft Cloud Security Benchmark
- Weitere Informationen zu Azure-Sicherheitsbaselines