Découvrir les bonnes pratiques pour Azure Key Vault
Azure Key Vault est un outil permettant de stocker les secrets et d’y accéder en toute sécurité. Un secret est un élément dont vous voulez contrôler étroitement l’accès. Il peut s’agir de clés d’API, de mots de passe ou de certificats. Un coffre est un groupe logique de secrets.
Authentification
Pour effectuer des opérations avec un coffre de clés, vous devez vous authentifier auprès de celui-ci. Il existe trois façons de s’authentifier auprès de Key Vault :
Identités managées pour les ressources Azure : quand vous déployez une application sur une machine virtuelle dans Azure, vous pouvez attribuer une identité à votre machine virtuelle qui a accès à Key Vault. Vous pouvez également assigner une identité aux autres ressources Azure. L’avantage de cette approche est que l’application ou le service ne gère pas la rotation du premier secret. Azure fait automatiquement pivoter la clé secrète client du principal du service associée à l’identité. Nous recommandons cette approche en tant que meilleure pratique.
Principal de service et certificat : vous pouvez utiliser un principal de service et un certificat associé qui a accès à Key Vault. Nous ne recommandons pas cette approche, car le propriétaire de l’application ou son développeur doit régulièrement renouveler le certificat.
Principal de service et secret : bien que vous puissiez utiliser un principal de service et un secret pour vous authentifier auprès de Key Vault, cette option n’est pas recommandée. Il est difficile de renouveler automatiquement le secret de démarrage qui sert à l’authentification auprès de Key Vault.
Chiffrement des données en transit
Azure Key Vault applique le protocole TLS (Transport Layer Security) pour protéger les données quand elles se déplacent entre Azure Key Vault et les clients. Les clients négocient une connexion TLS avec Azure Key Vault. TLS fournit une authentification forte, la confidentialité et l’intégrité des messages (activation de la détection de falsification et d’interception des messages), l’interopérabilité, la flexibilité des algorithmes, ainsi que la facilité de déploiement et d’utilisation.
Perfect Forward Secrecy (PFS) protège les connexions entre les systèmes clients des clients et les services cloud de Microsoft par des clés uniques. Les connexions utilisent également les longueurs de clés de chiffrement RSA de 2 048 bits. Cette combinaison rend difficile pour une personne l’interception et l’accès aux données en transit.
Bonnes pratiques relatives à Azure Key Vault
Utiliser des coffres de clés séparés : Il est recommandé d’utiliser un coffre par application par environnement (développement, préproduction et production). Ce modèle vous aide à éviter le partage de secrets entre environnements et réduit la menace en cas de violation.
Contrôler l’accès à votre coffre : Les données de Key Vault étant sensibles et critiques pour l’entreprise, vous devez sécuriser l’accès à vos coffres de clés en autorisant uniquement les applications et les utilisateurs autorisés.
Sauvegarde : Créez régulièrement des sauvegardes de votre coffre sur la mise à jour, la suppression et la création d’objets dans un coffre.
Journalisation : Veillez à activer la journalisation et les alertes.
Options de récupération : Activez la suppression réversible et la protection contre le vidage si vous souhaitez vous protéger contre la suppression forcée du secret.