Najlepsze rozwiązania dotyczące zarządzania wpisami tajnymi w usłudze Key Vault
Usługa Azure Key Vault umożliwia bezpieczne przechowywanie poświadczeń usługi lub aplikacji, takich jak hasła i klucze dostępu jako wpisy tajne. Wszystkie wpisy tajne w magazynie kluczy są szyfrowane przy użyciu klucza oprogramowania. W przypadku korzystania z usługi Key Vault nie trzeba już przechowywać informacji zabezpieczających w aplikacjach. Ponieważ nie trzeba już przechowywać informacji o zabezpieczeniach w aplikacjach, nie ma potrzeby używania tych informacji w kodzie.
Przykłady wpisów tajnych, które powinny być przechowywane w usłudze Key Vault:
- Wpisy tajne aplikacji klienckiej
- Parametry połączeń
- Passwords
- Klucze dostępu (Redis Cache, Azure Event Hubs, Azure Cosmos DB)
- Klucze SSH
Wszelkie inne poufne informacje, takie jak adresy IP, nazwy usług i inne ustawienia konfiguracji, powinny być przechowywane w aplikacja systemu Azure Configuration, a nie w usłudze Key Vault.
Każdy indywidualny magazyn kluczy definiuje granice zabezpieczeń dla wpisów tajnych. W przypadku pojedynczego magazynu kluczy na aplikację w poszczególnych regionach na środowisko zalecamy zapewnienie szczegółowej izolacji wpisów tajnych dla aplikacji.
Aby uzyskać więcej informacji na temat najlepszych rozwiązań dotyczących usługi Key Vault, zobacz Najlepsze rozwiązania dotyczące korzystania z usługi Key Vault.
Konfiguracja i przechowywanie
Przechowywanie informacji o poświadczeniach wymaganych do uzyskania dostępu do bazy danych lub usługi w wartości wpisu tajnego. W przypadku poświadczeń złożonych, takich jak nazwa użytkownika/hasło, może być przechowywany jako obiekt parametry połączenia lub JSON. Inne informacje wymagane do zarządzania powinny być przechowywane w tagach, tj. konfiguracji rotacji.
Aby uzyskać więcej informacji na temat wpisów tajnych, zobacz About Azure Key Vault secrets (Informacje o wpisach tajnych usługi Azure Key Vault).
Rotacja wpisów tajnych
Wpisy tajne są często przechowywane w pamięci aplikacji jako zmienne środowiskowe lub ustawienia konfiguracji dla całego cyklu życia aplikacji, co sprawia, że są wrażliwe na niepożądane narażenie. Ponieważ tajemnice są wrażliwe na wycieki lub ekspozycję, ważne jest, aby obracać je często, co najmniej co 60 dni.
Aby uzyskać więcej informacji na temat procesu rotacji wpisów tajnych, zobacz Automatyzowanie rotacji wpisu tajnego dla zasobów, które mają dwa zestawy poświadczeń uwierzytelniania.
Izolacja dostępu i sieci
Możesz zmniejszyć narażenie magazynów, określając, które adresy IP mają do nich dostęp. Skonfiguruj zaporę tak, aby zezwalała aplikacjom i powiązanym usługom na dostęp do wpisów tajnych w magazynie, aby zmniejszyć możliwość uzyskiwania dostępu do wpisów tajnych przez osoby atakujące.
Aby uzyskać więcej informacji na temat zabezpieczeń sieci, zobacz Konfigurowanie ustawień sieci usługi Azure Key Vault.
Ponadto aplikacje powinny postępować zgodnie z dostępem o najniższych uprawnieniach, mając dostęp tylko do odczytu wpisów tajnych. Dostęp do wpisów tajnych można kontrolować za pomocą zasad dostępu lub kontroli dostępu opartej na rolach platformy Azure.
Aby uzyskać więcej informacji na temat kontroli dostępu w usłudze Azure Key Vault, zobacz:
- Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault za pomocą kontroli dostępu opartej na rolach na platformie Azure
- Przypisywanie zasad dostępu do usługi Key Vault
Limity usług i buforowanie
Usługa Key Vault została pierwotnie utworzona z limitami ograniczania określoną w limitach usługi Azure Key Vault. Aby zmaksymalizować współczynniki przepływności, poniżej przedstawiono dwa zalecane najlepsze rozwiązania:
- Buforowanie wpisów tajnych w aplikacji przez co najmniej osiem godzin.
- Zaimplementuj logikę ponawiania ponawiania wykładniczego w celu obsługi scenariuszy przekroczenia limitów usługi.
Aby uzyskać więcej informacji na temat ograniczania przepustowości, zobacz Wskazówki dotyczące ograniczania przepustowości usługi Azure Key Vault.
Monitorowanie
Aby monitorować dostęp do wpisów tajnych i ich cyklu życia, włącz rejestrowanie usługi Key Vault. Usługa Azure Monitor umożliwia monitorowanie wszystkich działań wpisów tajnych we wszystkich magazynach w jednym miejscu. Możesz też użyć usługi Azure Event Grid do monitorowania cyklu życia wpisów tajnych, ponieważ zapewnia łatwą integrację z usługami Azure Logic Apps i Azure Functions.
Aby uzyskać więcej informacji, zobacz:
- Usługa Azure Key Vault jako źródło usługi Event Grid
- Funkcja rejestrowania usługi Azure Key Vault
- Monitorowanie i zgłaszanie alertów dla usługi Azure Key Vault
Ochrona kopii zapasowej i przeczyszczania
Włącz ochronę przed przeczyszczaniem, aby chronić przed złośliwym lub przypadkowym usunięciem wpisów tajnych. W scenariuszach, w których ochrona przed przeczyszczeniem nie jest możliwa, zalecamy utworzenie wpisów tajnych kopii zapasowych , których nie można odtworzyć z innych źródeł.