Введение
Чтобы понять, какие ошибки можно допустить при управлении секретами конфигурации приложения, достаточно ознакомиться с историей старшего разработчика Александра.
Стив работал в компании по доставке домашних животных в течение нескольких недель. Изучая веб-приложение компании (веб-приложение. NET Core, использующее Базу данных SQL Azure для хранения сведений о заказах и интерфейсы API сторонних разработчиков для расчетов по кредитным картам и сопоставления адресов клиентов), Александр случайно вставил строку подключения к базе данных заказов в сообщение на общедоступном форуме.
Через несколько дней бухгалтерия заметила, что компания поставляет значительное количество еды для домашних животных, за которые не заплатили. Кто-то использовал строка подключения для доступа к базе данных и создания заказов, обновляя базу данных напрямую.
Осознав ошибку, Александр срочно сменил пароль к базе данных, чтобы закрыть доступ злоумышленнику. После того как Стив изменил пароль, веб-сайт начал возвращать ошибки пользователям. Сервер приложений требует обновленной конфигурации с новым паролем. Александр вошел напрямую на сервер приложений и изменил конфигурацию приложения вместо того, чтобы выполнить повторное развертывание, однако ошибки запросов на сервере не прекратились.
Стив забыл, что на разных серверах запущено несколько экземпляров приложения. Он изменил конфигурацию только для одной. Потребовалось полное повторное развертывание, что привело еще к 30 минутам простоя.
К счастью, отделу бухгалтерского учета удалось быстро исправить ошибки, и пострадали только заказы за один день. Но в будущем Александру может не так повезти, и он должен найти способ повысить безопасность и удобство обслуживания приложения.
Если база данных строка подключения, ключ API или пароль службы утечка, это может быть катастрофическим. Утечка может привести к краже или удалению данных, финансовому ущербу, простою приложения и непоправимому ущербу бизнес-активам и репутации. К сожалению, секретные значения часто необходимо развертывать одновременно в нескольких местах и изменять в неподходящее время. И их нужно где-то хранить! Узнайте, как Стив может снизить риск и повысить безопасность и удобство обслуживания своего приложения с помощью Azure Key Vault.
Цели обучения
Изучив этот модуль, вы сможете:
- типы данных, которые можно хранить в Azure Key Vault;
- Создание хранилища Azure Key Vault и использование его для хранения секретных значений конфигурации.
- Включение безопасного доступа к Azure Key Vault из веб-приложения Службы приложений Azure с помощью управляемых удостоверений для ресурсов Azure.
- Реализации веб-приложения, которое получает секреты из Azure Key Vault.