Secrets dans Key Vault
Les secrets ne sont pas secrets s’ils sont partagés avec tout le monde. Le stockage d’éléments confidentiels tels que des chaînes de connexion, jetons de sécurité, certificats et mots de passe dans votre code consiste simplement à inviter quelqu’un à les récupérer et à les utiliser dans un but autre que ce pour lequel vous les avez créés. Même le fait de stocker ce type de données dans votre configuration web est une mauvaise idée ; cela revient à mettre vos données privées à disposition de n’importe quelle personne ayant accès au code source ou au serveur web.
Au lieu de cela, vous devez toujours placer ces secrets dans Azure Key Vault.
Qu’est-ce qu’Azure Key Vault ?
Azure Key Vault est un magasin de secrets : un service cloud centralisé pour le stockage de secrets d’application. Key Vault garantit la sécurité de vos données confidentielles en conservant les secrets des applications dans un emplacement central unique et en fournissant un accès sécurisé, un contrôle des autorisations et une journalisation des accès.
Les secrets sont stockés dans des coffres individuels, chacun ayant ses propres stratégies de configuration et de sécurité pour contrôler l’accès. Vous pouvez ensuite accéder à vos données via une API REST ou via un client Kit de développement logiciel (SDK) disponible pour la plupart des langages.
Important
Un coffre de clés est conçu pour stocker des secrets de configuration pour des applications serveur. Il n’est pas conçu pour stocker des données appartenant aux utilisateurs de votre application, et ne doit pas être utilisé dans la partie côté client d’une application. Cela se reflète dans ses caractéristiques de performance, son API et son modèle de coût.
Les données utilisateur doivent être stockées ailleurs, par exemple, dans une base de données Azure SQL avec chiffrement transparent des données (Transparent data encryption), ou dans un compte de stockage avec chiffrement du service de stockage (Storage Service Encryption). Vous pouvez conserver les secrets que votre application utilise pour accéder à ces magasins de données dans Key Vault.
Pourquoi utiliser un Key Vault pour mes secrets
La gestion des clés et le stockage de secrets peuvent être complexes et sources d’erreurs lorsqu’ils sont effectués manuellement. La rotation manuelle des certificats peut potentiellement prendre quelques heures ou jours. Comme mentionné ci-dessus, l’enregistrement de vos chaînes de connexion dans votre fichier de configuration ou référentiel de code implique que quiconque peut dérober vos informations d’identification.
Key Vault permet aux utilisateurs de stocker des chaînes de connexion, secrets, mots de passe, certificats, stratégies d’accès, verrouillages de fichier (éléments dans Azure en lecture seule) et scripts d’automatisation. Il journalise également les accès et activités et vous permet de superviser le contrôle d’accès (IAM) dans votre abonnement. Il propose également des outils de diagnostic, métriques, alertes et dépannage pour vérifier que vous avez l’accès dont vous avez besoin.
Pour en savoir plus sur l’utilisation d’Azure Key Vault, consultez Gérer les secrets dans vos applications serveur avec Azure Key Vault.
Résumé
Le vol d’informations d’identification, la permutation manuelle de clés et le renouvellement de certificat peuvent ne plus se produire si vous gérez correctement vos secrets en utilisant Azure Key Vault.