Procedure consigliate per la gestione dei file segreti in Key Vault
Azure Key Vault consente di archiviare in modo sicuro le credenziali del servizio o dell'applicazione, ad esempio password e chiavi di accesso come segreti. Tutti i segreti nell'insieme di credenziali delle chiavi vengono crittografati con una chiave software. Quando si usa Key Vault, non è più necessario archiviare le informazioni di sicurezza nelle applicazioni. Il fatto di non dover archiviare le informazioni di sicurezza nelle applicazioni elimina la necessità di inserirle nel codice.
Alcuni esempi di segreti da archiviare in Key Vault:
- Segreti dell'applicazione client
- Stringhe di connessione
- Password
- Chiavi di accesso (Cache Redis, Hub eventi di Azure, Azure Cosmos DB)
- Chiavi SSH
Qualsiasi altra informazione sensibile, ad esempio indirizzi IP, nomi di servizio e altre impostazioni di configurazione, deve essere archiviata in Configurazione app di Azure anziché in Key Vault.
Ogni singolo insieme di credenziali delle chiavi definisce i limiti di sicurezza per i segreti. Per un singolo insieme di credenziali delle chiavi per applicazione, per area, per ambiente, è consigliabile fornire un isolamento granulare dei segreti per un'applicazione.
Per altre informazioni sulle procedure consigliate per Key Vault, vedere Procedure consigliate per l'uso di Key Vault.
Configurazione e archiviazione
Archiviare le informazioni sulle credenziali necessarie per accedere al database o al servizio nel valore del segreto. Nel caso di credenziali composte come nome utente/password, può essere archiviato come stringa di connessione o oggetto JSON. Altre informazioni necessarie per la gestione devono essere archiviate nei tag, ad esempio la configurazione della rotazione.
Per altre informazioni sugli attributi dei segreti, vedere Informazioni sui segreti di Azure Key Vault.
Rotazione dei segreti
I segreti vengono spesso archiviati nella memoria dell'applicazione come variabili di ambiente o impostazioni di configurazione per l'intero ciclo di vita dell'applicazione, che li rende sensibili all'esposizione indesiderata. Poiché i segreti sono sensibili alla perdita o all'esposizione, è importante ruotarli spesso, almeno ogni 60 giorni.
Per altre informazioni sul processo di rotazione dei segreti, vedere Automatizzare la rotazione di un segreto per le risorse con due set di credenziali di autenticazione.
Accesso e isolamento rete
È possibile ridurre l'esposizione degli insiemi di credenziali specificando gli indirizzi IP che possono accedervi. Configurare il firewall per consentire alle applicazioni e ai servizi correlati di accedere ai segreti nell'insieme di credenziali per ridurre la capacità degli utenti malintenzionati di accedere ai segreti.
Per altre informazioni sulla sicurezza delle rete, vedere Configurare le impostazioni di rete di Azure Key Vault.
Inoltre, le applicazioni devono seguire l'accesso con privilegi minimi solo avendo accesso ai segreti di lettura. L'accesso ai segreti può essere controllato con i criteri di accesso o con il controllo degli accessi in base al ruolo di Azure.
Per altre informazioni sul controllo di accesso in Azure Key Vault, vedere:
- Fornire l'accesso a chiavi, certificati e segreti di Key Vault con il controllo degli accessi in base al ruolo di Azure
- Assegnare criteri di accesso a Key Vault
Limiti del servizio e memorizzazione nella cache
Key Vault è stato originariamente creato con i limiti di limitazione delle richieste specificati in Limiti dei servizi Azure Key Vault . Per ottimizzare la velocità effettiva, ecco due procedure consigliate:
- Memorizzare nella cache i segreti nell'applicazione per almeno otto ore.
- Implementare la logica di ripetizione dei tentativi di back-off esponenziale per gestire gli scenari in cui vengono superati i limiti del servizio.
Per altre informazioni sulle linee guida sulla limitazione delle richieste, vedere Informazioni sui limiti di Azure Key Vault.
Monitoraggio
Per monitorare l'accesso ai segreti e al relativo ciclo di vita, attivare la registrazione di Key Vault. Usare Monitoraggio di Azure per monitorare tutte le attività dei segreti in tutti gli insiemi di credenziali in un'unica posizione. In alternativa, usare Griglia di eventi di Azure per monitorare il ciclo di vita dei segreti, perché offre un'integrazione semplice con App per la logica di Azure e Funzioni di Azure.
Per altre informazioni, vedi:
- Azure Key Vault come origine di Griglia di eventi
- Registrazione di Azure Key Vault
- Monitoraggio e avvisi per Azure Key Vault
Backup e protezione dalla rimozione definitiva
Attivare la protezione dalla rimozione definitiva per evitare l'eliminazione accidentale o dannosa dei segreti. Negli scenari in cui la protezione dall'eliminazione non è una possibile opzione, è consigliabile eseguire il backup dei segreti che non possono essere ricreati da altre origini.