Najlepsze rozwiązania dotyczące korzystania z usługi Azure Key Vault
Usługa Azure Key Vault chroni klucze szyfrowania i wpisy tajne, takie jak certyfikaty, parametry połączenia i hasła. Ten artykuł pomaga zoptymalizować korzystanie z magazynów kluczy.
Używanie oddzielnych magazynów kluczy
Naszym zaleceniem jest użycie magazynu na aplikację na środowisko (programowanie, przedprodukcja i produkcja) na region. Szczegółowa izolacja pomaga nie udostępniać wpisów tajnych między aplikacjami, środowiskami i regionami, a także zmniejsza zagrożenie w przypadku naruszenia zabezpieczeń.
Dlaczego zalecamy oddzielne magazyny kluczy
Magazyny kluczy definiują granice zabezpieczeń dla przechowywanych wpisów tajnych. Grupowanie wpisów tajnych w tym samym magazynie zwiększa promień wybuchu zdarzenia zabezpieczeń, ponieważ ataki mogą mieć dostęp do wpisów tajnych w różnych problemach. Aby ograniczyć dostęp między problemami, należy wziąć pod uwagę wpisy tajne, do których powinna mieć dostęp określona aplikacja , a następnie oddzielić magazyny kluczy na podstawie tej linii. Rozdzielenie magazynów kluczy według aplikacji jest najbardziej typową granicą. Jednak granice zabezpieczeń mogą być bardziej szczegółowe dla dużych aplikacji, na przykład dla grupy powiązanych usług.
Kontrolowanie dostępu do magazynu
Klucze szyfrowania i wpisy tajne, takie jak certyfikaty, parametry połączenia i hasła, są wrażliwe i krytyczne dla działania firmy. Musisz zabezpieczyć dostęp do magazynów kluczy, zezwalając tylko autoryzowanym aplikacjom i użytkownikom. Funkcje zabezpieczeń usługi Azure Key Vault udostępniają omówienie modelu dostępu usługi Key Vault. Wyjaśniono w nim uwierzytelnianie i autoryzację. W tym artykule opisano również sposób zabezpieczania dostępu do magazynów kluczy.
Zalecenia dotyczące kontrolowania dostępu do magazynu są następujące:
- Zablokuj dostęp do subskrypcji, grupy zasobów i magazynów kluczy przy użyciu modelu uprawnień kontroli dostępu opartej na rolach (RBAC) dla płaszczyzny danych.
- Przypisywanie ról RBAC w zakresie usługi Key Vault dla aplikacji, usług i obciążeń wymagających trwałego dostępu do usługi Key Vault
- Przypisywanie ról RBAC just in time dla operatorów, administratorów i innych kont użytkowników wymagających uprzywilejowanego dostępu do usługi Key Vault przy użyciu usługi Privileged Identity Management (PIM)
- Wymagaj co najmniej jednego osoby zatwierdzającej
- Wymuszanie uwierzytelniania wieloskładnikowego
- Ograniczanie dostępu do sieci za pomocą usługi Private Link, zapory i sieci wirtualnych
Ważne
Model uprawnień starszych zasad dostępu ma znane luki w zabezpieczeniach i brak obsługi priviliged Identity Management i nie powinny być używane w przypadku krytycznych danych i obciążeń.
Włączanie ochrony danych dla magazynu
Włącz ochronę przed przeczyszczeniem, aby chronić przed złośliwym lub przypadkowym usunięciem wpisów tajnych i magazynu kluczy nawet po włączeniu usuwania nietrwałego.
Aby uzyskać więcej informacji, zobacz Omówienie usuwania nietrwałego usługi Azure Key Vault.
Włącz rejestrowanie
Włącz rejestrowanie dla magazynu. Ponadto skonfiguruj alerty.
Wykonywanie kopii zapasowej
Ochrona przed przeczyszczeniem uniemożliwia złośliwe i przypadkowe usunięcie obiektów magazynu przez maksymalnie 90 dni. W scenariuszach, gdy ochrona przed przeczyszczeniem nie jest możliwa, zalecamy tworzenie obiektów magazynu kopii zapasowych, których nie można odtworzyć z innych źródeł, takich jak klucze szyfrowania generowane w magazynie.
Aby uzyskać więcej informacji na temat tworzenia kopii zapasowych, zobacz Tworzenie i przywracanie kopii zapasowej usługi Azure Key Vault.
Rozwiązania wielodostępne i usługa Key Vault
Rozwiązanie wielodostępne jest oparte na architekturze, w której składniki są używane do obsługi wielu klientów lub dzierżaw. Rozwiązania wielodostępne są często używane do obsługi rozwiązań oprogramowania jako usługi (SaaS). Jeśli tworzysz wielodostępne rozwiązanie obejmujące usługę Key Vault, zaleca się użycie jednej usługi Key Vault dla każdego klienta w celu zapewnienia izolacji danych i obciążeń klientów, zapoznaj się z artykułem Multitenancy i Azure Key Vault.
Często zadawane pytania:
Czy można używać przypisań zakresu obiektów modelu uprawnień modelu uprawnień opartej na rolach (RBAC) usługi Key Vault w celu zapewnienia izolacji dla zespołów aplikacji w usłudze Key Vault?
L.p. Model uprawnień RBAC umożliwia przypisanie dostępu do poszczególnych obiektów w usłudze Key Vault do użytkownika lub aplikacji, ale tylko do odczytu. Wszystkie operacje administracyjne, takie jak kontrola dostępu do sieci, monitorowanie i zarządzanie obiektami, wymagają uprawnień na poziomie magazynu. Posiadanie jednej usługi Key Vault na aplikację zapewnia bezpieczną izolację operatorów w zespołach aplikacji.
Następne kroki
Dowiedz się więcej o najlepszych rozwiązaniach dotyczących zarządzania kluczami: