Best practices voor Azure Key Vault ontdekken

  • 3 minuten

Azure Key Vault is een hulpprogramma voor het veilig opslaan en openen van geheimen. Een geheim is alles waartoe u de toegang strikt wilt beheren, zoals API-sleutels, wachtwoorden of certificaten. Een kluis is een logische verzameling geheimen.

Authenticatie

Als u bewerkingen wilt uitvoeren met Key Vault, moet u zich eerst verifiëren. Er zijn drie manieren om te verifiëren bij Key Vault:

  • Beheerde identiteiten voor Azure-resources: wanneer u een app implementeert op een virtuele machine in Azure, kunt u een identiteit toewijzen aan uw virtuele machine die toegang heeft tot Key Vault. U kunt ook identiteiten toewijzen aan andere Azure-resources. Het voordeel van deze aanpak is dat de app of service de rotatie van het eerste geheim niet beheert. Azure roteert automatisch het clientgeheim van de service-principal dat is gekoppeld aan de identiteit. We raden deze aanpak aan als best practice.

  • service-principal en certificaat: u kunt een service-principal en een gekoppeld certificaat gebruiken dat toegang heeft tot Key Vault. We raden deze methode niet aan omdat de eigenaar van de toepassing of ontwikkelaar het certificaat moet roteren.

  • service-principal en geheim: Hoewel u een service-principal en een geheim kunt gebruiken om te authenticeren bij Key Vault, wordt dit niet aangeraden. Het is moeilijk om het bootstrapgeheim dat wordt gebruikt voor verificatie bij Key Vault automatisch te roteren.

Versleuteling van gegevens die onderweg zijn

Azure Key Vault dwingt tls-protocol (Transport Layer Security) af om gegevens te beveiligen wanneer ze reizen tussen Azure Key Vault en clients. Clients onderhandelen over een TLS-verbinding met Azure Key Vault. TLS biedt sterke verificatie, privacy en integriteit van berichten (waardoor manipulatie, onderschepping en vervalsing van berichten kunnen worden gedetecteerd), interoperabiliteit, flexibiliteit van algoritmen en gebruiksgemak.

Perfect Forward Secrecy (PFS) beschermt verbindingen tussen clientsystemen van klanten en Microsoft-cloudservices met unieke sleutels. Verbindingen maken ook gebruik van op RSA gebaseerde 2048-bits versleutelingssleutellengten. Deze combinatie maakt het moeilijk voor iemand om gegevens te onderscheppen en te openen die onderweg zijn.

Best practices voor Azure Key Vault

  • Gebruik afzonderlijke sleutelkluizen: Het wordt aanbevolen om een kluis per toepassing per omgeving te gebruiken (Ontwikkeling, Preproductie en Productie). Dit patroon helpt u geen geheimen te delen in omgevingen en vermindert ook de bedreiging als er sprake is van een schending.

  • De toegang tot uw kluis beheren: Omdat Key Vault-gegevens gevoelig en bedrijfskritiek zijn, moet u de toegang tot uw sleutelkluizen beveiligen door alleen geautoriseerde toepassingen en gebruikers toe te laten.

  • Back-up: Maak regelmatige back-ups van uw kluis bij het bijwerken, verwijderen of maken van objecten binnen een kluis.

  • Logboekregistratie: Zorg ervoor dat u logboekregistratie en waarschuwingen inschakelt.

  • Herstelopties: schakel voorlopig verwijderen en opschoningsbeveiliging in als u wilt voorkomen dat het geheim wordt verwijderd.