Úvod
Pokud chcete pochopit, co se může pokazit při správě tajných kódů konfigurace aplikace, podívejte se dál než na příběh Stevea, vedoucího vývojáře.
Steve pracoval ve společnosti pro doručování potravin pro domácí mazlíčky několik týdnů. Při zkoumání podrobností webové aplikace společnosti – webové aplikace .NET Core, která používala databázi Azure SQL k ukládání informací o objednávkách a rozhraní API třetích stran pro fakturaci platební karty a mapování zákaznických adres – Steve omylem vložili připojovací řetězec pro databázi objednávek do veřejného fóra.
O několik dní později účetní oddělení zaznamenalo, že společnost dodávala značné množství potravin pro domácí mazlíčky, za které nebyla zaplacena. Někdo použil připojovací řetězec pro přístup k databázi a vytvořil objednávky tak, že databázi aktualizuje přímo.
Poté, co Si Steve uvědomil chybu, rychle změnil heslo databáze tak, aby útočníka zamknul. Po změně hesla začal web uživatelům vracet chyby. Aplikační server potřeboval aktualizovanou konfiguraci s novým heslem. Štěpán se přihlásil přímo k aplikačnímu serveru a změnil konfiguraci aplikace (místo aby ji znovu nasadil), ale požadavky na server byly stále neúspěšné.
Steve zapomněl, že na různých serverech běžela více instancí aplikace. Změnil konfiguraci jenom pro jednu. Bylo nutné provést úplné opětovné nasazení, což způsobilo další 30minutový výpadek.
Naštěstí pro Steve, účetní oddělení bylo schopno rychle opravit chyby a pouze jeden den hodnoty objednávek byly ovlivněny. Steve nemusí být v budoucnu tak šťastný a potřebuje najít způsob, jak zlepšit zabezpečení a udržovatelnost aplikace.
Pokud dojde k úniku databázového připojovací řetězec, klíče rozhraní API nebo hesla služby, může to být katastrofické. Únik může potenciálně vést k odcizení nebo odstranění dat, finanční škody, výpadky aplikací a nenapravitelné škody na obchodních prostředcích a reputaci. Tajné hodnoty se bohužel musí často nasadit současně na více míst a změnit je v nevhodnou dobu. A někam je musíte uložit! Podívejte se, jak Může Steve snížit riziko a zlepšit zabezpečení a udržovatelnost aplikace pomocí služby Azure Key Vault.
Cíle výuky
V tomto modulu:
- Prozkoumat, jaké typy informací je možné ukládat ve službě Azure Key Vault
- Vytvořit službu Azure Key Vault a použít ji k uložení hodnot tajných kódů konfigurace
- Povolte zabezpečený přístup ke službě Azure Key Vault z webové aplikace Aplikace Azure Service se spravovanými identitami pro prostředky Azure.
- Implementujte webovou aplikaci, která načítá tajné kódy ze služby Azure Key Vault.