探索 Azure Key Vault 最佳做法
Azure Key Vault 是可安全儲存及存取祕密的工具。 祕密是指任何需受到嚴密存取控制的項目,例如 API 金鑰、密碼或憑證。 保存庫是祕密的邏輯群組。
驗證
若要對 Key Vault 執行任何作業,您必須先通過其驗證。 向 Key Vault 進行驗證的方式有三種:
Azure 資源受控識別:當您在 Azure 中將應用程式部署於虛擬機器時,您可以指派身分識別給可存取 Key Vault 的虛擬機器。 您也可以指派身分識別給其他 Azure 資源。 此方法的優點是應用程式或服務不必管理第一個祕密的輪替。 Azure 會自動輪替與身分識別相關聯的服務主體用戶端密碼。 建議以此方法為最佳做法。
服務主體和憑證:您可以使用可存取 Key Vault 的服務主體和相關聯的憑證。 不建議採用此方法,因為應用程式擁有者或開發人員必須輪替憑證。
服務主體和祕密:雖然您可以使用服務主體和祕密向 Key Vault 驗證,但不建議這麼做。 用於向 Key Vault 驗證的啟動程序祕密,很難自動輪替。
傳輸中資料加密
Azure Key Vault 強制執行傳輸層安全性 (TLS) 通訊協定,以保護 Azure Key Vault 與用戶端之間移動的資料。 用戶端會與 Azure Key Vault 交涉 TLS 連線。 TLS 支援增強式驗證、訊息隱私權、完整性 (可偵測訊息竄改、攔截和偽造)、互通性、演算法彈性,以及輕鬆部署和使用。
完整轉寄密碼 (PFS) 會以唯一索引鍵保護客戶用戶端系統與 Microsoft 雲端服務之間的連線。 連線也採用 RSA 型 2,048 位元加密金鑰長度。 此組合讓人難以攔截和存取傳輸中的資料。
Azure Key Vault 最佳做法
使用個別的金鑰保存庫:建議在每個環境 (開發、生產前和生產) 使用每個應用程式的保存庫。 此模式可協助您不在不同環境間共用祕密,亦可在出現缺口時降低威脅。
控制保存庫的存取權:金鑰保存庫資料相當敏感且為業務關鍵,因此您必須僅允許獲授權的應用程式和使用者才可存取金鑰保存庫,以保護其安全。
備份:在更新/刪除/建立保存庫中的物件時,定期備份保存庫。
記錄:請務必開啟記錄和警示。
復原選項:若您想要防止強制刪除祕密,請開啟虛刪除和清除保護。