Upptäck metodtips för Azure Key Vault

  • 3 minuter

Azure Key Vault är ett verktyg för säker lagring och åtkomst till hemligheter. En hemlighet är allt som du vill kontrollera åtkomsten till, till exempel API-nycklar, lösenord eller certifikat. Ett valv är en logisk grupp med hemligheter.

Autentisering

Om du vill utföra åtgärder med Key Vault måste du först autentisera till det. Det finns tre sätt att autentisera till Key Vault:

  • Hanterade identiteter för Azure-resurser: När du distribuerar en app på en virtuell dator i Azure kan du tilldela en identitet till den virtuella datorn som har åtkomst till Key Vault. Du kan också tilldela identiteter till andra Azure-resurser. Fördelen med den här metoden är att appen eller tjänsten inte hanterar rotationen av den första hemligheten. Azure roterar automatiskt klienthemligheten för tjänstens huvudnamn som är associerad med identiteten. Vi rekommenderar den här metoden som bästa praxis.

  • Tjänstens huvudnamn och certifikat: Du kan använda tjänstens huvudnamn och ett associerat certifikat som har åtkomst till Key Vault. Vi rekommenderar inte den här metoden eftersom programägaren eller utvecklaren måste rotera certifikatet.

  • Tjänstens huvudnamn och hemliga: Även om du kan använda tjänstens huvudnamn och en hemlighet för att autentisera till Key Vault rekommenderar vi det inte. Det är svårt att automatiskt rotera bootstrap-hemligheten som används för att autentisera till Key Vault.

Kryptering av data under överföring

Azure Key Vault tillämpar TLS-protokollet (Transport Layer Security) för att skydda data när de färdas mellan Azure Key Vault och klienter. Klienter förhandlar om en TLS-anslutning med Azure Key Vault. TLS ger stark autentisering, meddelandesekretess och integritet (möjliggör identifiering av manipulering, avlyssning och förfalskning), samverkan, algoritmflexibilitet och enkel distribution och användning.

Perfect Forward Secrecy (PFS) skyddar anslutningar mellan kundernas klientsystem och Microsofts molntjänster med unika nycklar. Anslutningar använder också RSA-baserade 2 048-bitars krypteringsnyckellängder. Den här kombinationen gör det svårt för någon att fånga upp och komma åt data som är under överföring.

Metodtips för Azure Key Vault

  • Använd separata nyckelvalv: Rekommenderas att använda ett valv per program per miljö (utveckling, förproduktion och produktion). Det här mönstret hjälper dig att inte dela hemligheter mellan miljöer och minskar även hotet om det uppstår ett intrång.

  • Kontrollera åtkomsten till valvet: Key Vault-data är känsliga och affärskritiska måste du skydda åtkomsten till dina nyckelvalv genom att endast tillåta auktoriserade program och användare.

  • Säkerhetskopiering: Skapa regelbundna säkerhetskopieringar av valvet vid uppdatering/borttagning/skapande av objekt i ett valv.

  • Loggning: Aktivera loggning och aviseringar.

  • Återställningsalternativ: Aktivera mjuk radering och rensningsskydd om du vill skydda mot tvingad borttagning av hemligheten.