Seznamte se s osvědčenými postupy služby Azure Key Vault
Azure Key Vault je nástroj pro zabezpečené ukládání tajných kódů a přístup k nim. Tajný klíč je cokoli, k čemu chcete pečlivě kontrolovat přístup, třeba klíče rozhraní API, hesla nebo certifikáty. Trezor je logická skupina tajných kódů.
Authentication
Pokud chcete se službou Key Vault provádět jakékoli operace, musíte se k němu nejdřív ověřit. Existují tři způsoby ověřování ve službě Key Vault:
Spravované identity pro prostředky Azure: Když nasadíte aplikaci na virtuální počítač v Azure, můžete přiřadit identitu k virtuálnímu počítači, který má přístup ke službě Key Vault. Identity můžete také přiřadit k jiným prostředkům Azure. Výhodou tohoto přístupu je, že aplikace nebo služba nespravuje rotaci prvního tajného kódu. Azure automaticky obměňuje tajný klíč klienta instančního objektu přidružený k identitě. Tento přístup doporučujeme jako osvědčený postup.
Instanční objekt a certifikát: Můžete použít instanční objekt a přidružený certifikát, který má přístup ke službě Key Vault. Tento přístup nedoporučujeme, protože vlastník aplikace nebo vývojář musí certifikát otočit.
Instanční objekt a tajný klíč: Instanční objekt a tajný kód můžete použít k ověření ve službě Key Vault, nedoporučujeme ho. Je obtížné automaticky otočit tajný klíč bootstrap, který se používá k ověření ve službě Key Vault.
Šifrování dat při přenosu
Azure Key Vault vynucuje protokol TLS (Transport Layer Security) k ochraně dat při přenosu mezi službou Azure Key Vault a klienty. Klienti vyjednávají připojení TLS se službou Azure Key Vault. TLS poskytuje silné ověřování, ochranu osobních údajů a integritu zpráv (umožňující detekci manipulace se zprávami, zachycení a padělání), interoperabilitu, flexibilitu algoritmů a snadné nasazení a použití.
Perfect Forward Secrecy (PFS) chrání propojení mezi klientskými systémy zákazníků a cloudovými službami Microsoftu jedinečnými klíči. Připojení iony také používají 2 048bitové délky šifrovacího klíče založeného na RSA. Tato kombinace znesnadňuje, aby někdo zachytil a získal přístup k datům, která jsou přenášena.
Osvědčené postupy pro Azure Key Vault
Používejte samostatné trezory klíčů: Doporučujeme použít trezor pro každou aplikaci pro každé prostředí (vývoj, předprodukční a produkční prostředí). Tento model vám pomůže nesdílet tajné kódy napříč prostředími a také snižuje hrozbu, pokud dojde k narušení zabezpečení.
Řízení přístupu k trezoru: Data služby Key Vault jsou citlivá a důležitá pro firmu, potřebujete zabezpečit přístup k trezorům klíčů tím, že povolíte jenom autorizované aplikace a uživatele.
Zálohování: Vytvořte pravidelné zálohy trezoru při aktualizaci, odstranění nebo vytvoření objektů v rámci trezoru.
Protokolování: Nezapomeňte zapnout protokolování a upozornění.
Možnosti obnovení: Pokud chcete chránit před vynuceným odstraněním tajného kódu, zapněte ochranu proti obnovitelnému odstranění a vyprázdnění.