Segredos no Key Vault
Segredos não são segredos se forem compartilhados com todos. Armazenar itens confidenciais como cadeias de conexão, tokens de segurança, certificados e senhas em seu código é apenas convidar alguém a pegá-los e usá-los para algo diferente do que você pretendia. Até mesmo armazenar esse tipo de dados em sua configuração da web é uma má ideia; Você está essencialmente permitindo que qualquer pessoa que tenha acesso ao código-fonte ou ao servidor Web acesse seus dados privados.
Em vez disso, deve colocar sempre estes segredos no Azure Key Vault.
O que é o Azure Key Vault?
O Azure Key Vault é um arquivo de segredos: um serviço cloud centralizado para armazenar os segredos da aplicação. O Key Vault mantém os dados confidenciais seguros ao manter os segredos da aplicação numa única localização central e ao fornecer acesso seguro, controlo de permissões e registo de acesso.
Os segredos são armazenados em cofres individuais, cada um com as suas próprias políticas de configuração e de segurança para controlar o acesso. Em seguida, pode obter os seus dados através da REST API ou através de um SDK cliente, disponível na maioria das linguagens.
Importante
O Key Vault foi concebido para armazenar os segredos de configuração das aplicações de servidor. Não é adequado para armazenar dados pertencentes aos utilizadores da sua aplicação e não deve ser utilizado no lado do cliente de uma aplicação. Tal reflete-se nas suas características de desempenho, na API e no modelo de custos.
Os dados de utilizador devem ser armazenados noutro local, por exemplo, numa base de dados SQL do Azure com Encriptação de Dados Transparente ou numa conta de armazenamento com Encriptação do Serviço de Armazenamento. Você pode manter segredos que seu aplicativo usa para acessar esses armazenamentos de dados no Cofre de Chaves.
Porquê utilizar um Key Vault para os meus segredos?
A gestão de chaves e o armazenamento de segredos podem ser complicados e propensos a erros quando executados manualmente. Alternar certificados manualmente significa potencialmente ficar sem por algumas horas ou dias. Conforme mencionado acima, guardar as cadeias de ligação no ficheiro de configuração ou no repositório de código significa que alguém poderá roubar as suas credenciais.
O Key Vault permite que os utilizadores armazenem cadeias de ligação, segredos, palavras-passe, certificados, políticas de acesso, bloqueios de ficheiros (ao tornar os itens no Azure só de leitura) e scripts de automatização. Ele também registra o acesso e a atividade e permite que você monitore o controle de acesso (IAM) em sua assinatura. Ele também tem diagnósticos, métricas, alertas e ferramentas de solução de problemas para garantir que você tenha o acesso de que precisa.
Saiba mais sobre como utilizar um Azure Key Vault em Gerir segredos nas suas aplicações de servidor com o Azure Key Vault.
Resumo
O roubo de credenciais, a rotação manual de chaves e a renovação de certificados podem ser uma coisa do passado se você gerenciar bem seus segredos usando o Cofre de Chaves do Azure.