Entdecken bewährter Methoden für Azure Key Vault

  • 3 Minuten

Azure Key Vault ist ein Tool zum sicheren Speichern und Zugreifen auf geheime Schlüssel. Ein Geheimnis ist alles, zu dem Sie den Zugriff streng kontrollieren möchten, wie API-Schlüssel, Kennwörter oder Zertifikate. Ein Tresor ist eine logische Gruppe von Geheimnissen.

Authentifizierung

Um Vorgänge mit Key Vault durchzuführen, müssen Sie sich zuerst authentifizieren. Es gibt drei Möglichkeiten, sich bei Key Vault zu authentifizieren:

  • Verwaltete Identitäten für Azure-Ressourcen: Wenn Sie eine App auf einem virtuellen Computer in Azure bereitstellen, können Sie Ihrem virtuellen Computer, der Zugriff auf Key Vault hat, eine Identität zuweisen. Sie können auch Identitäten anderen Azure-Ressourcen zuweisen. Der Vorteil dieses Ansatzes besteht darin, dass die App oder der Dienst nicht die Rotation des ersten Geheimnisses verwaltet. Azure erneuert automatisch das Client-Secret des Dienstprinzipals, das der Identität zugeordnet ist. Wir empfehlen diesen Ansatz als bewährte Methode.

  • Dienstprinzipal und Zertifikat: Sie können einen Dienstprinzipal und ein zugeordnetes Zertifikat verwenden, das Zugriff auf Key Vault hat. Wir empfehlen diesen Ansatz nicht, da der Anwendungsbesitzer oder Entwickler das Zertifikat drehen muss.

  • Dienstprinzipal und geheimes: Obwohl Sie einen Dienstprinzipal und einen geheimen Schlüssel zur Authentifizierung bei Key Vault verwenden können, empfehlen wir dies nicht. Es ist schwierig, den geheimen Bootstrapschlüssel automatisch zu drehen, der zum Authentifizieren bei Key Vault verwendet wird.

Verschlüsselung von Daten während der Übertragung

Azure Key Vault erzwingt das TLS-Protokoll (Transport Layer Security), um Daten beim Reisen zwischen Azure Key Vault und Clients zu schützen. Clients verhandeln eine TLS-Verbindung mit Azure Key Vault. TLS bietet starke Authentifizierung, Nachrichtendatenschutz und Integrität (ermöglicht die Erkennung von Nachrichtenmanipulationen, Abfangen und Fälschungen), Interoperabilität, Flexibilität des Algorithmus und erleichterte Bereitstellung und Verwendung.

Perfect Forward Secrecy (PFS) schützt Verbindungen zwischen kundenseitigen Clientsystemen und Microsoft-Clouddiensten durch eindeutige Schlüssel. Verbindungen verwenden auch RSA-basierte 2.048-Bit-Verschlüsselungsschlüssellängen. Diese Kombination erschwert es jemandem, Daten abzufangen und während der Übertragung darauf zuzugreifen.

Bewährte Methoden für Azure Key Vault

  • Separate Schlüsseltresore verwenden: Es wird empfohlen, einen Tresor pro Anwendung und pro Umgebung (Entwicklung, Vorproduktion und Produktion) zu verwenden. Dieses Muster hilft Ihnen, Geheimnisse nicht über Umgebungen hinweg zu teilen und reduziert auch die Bedrohung, wenn eine Sicherheitsverletzung vorliegt.

  • Steuern des Zugriffs auf Ihren Tresor: Key Vault-Daten sind vertraulich und geschäftskritisch, daher müssen Sie den Zugriff auf Ihre Schlüsseltresore sichern, indem Sie nur autorisierte Anwendungen und Benutzer zulassen.

  • Sicherung: Erstellen Sie regelmäßige Sicherungen Ihres Tresors, wenn Sie Objekte in einem Tresor aktualisieren, löschen oder erstellen.

  • Protokollierung: Aktivieren Sie die Protokollierung und Warnungen.

  • Wiederherstellungsoptionen: Aktivieren Sie Soft-Delete und Schutz gegen endgültiges Löschen, wenn Sie sich vor dem Erzwingen des Löschens des Geheimnisses schützen möchten.