أفضل الممارسات لاستخدام Azure Key Vault

يحمي Azure Key Vault مفاتيح التشفير والبيانات السرية مثل الشهادات وسلاسل الاتصال وكلمات المرور. تساعدك هذه المقالة على تحسين استخدامك لمخازن المفاتيح.

استخدم مخازن مفاتيح منفصلة

توصيتنا هي استخدام مخزن لكل تطبيق لكل بيئة (التطوير وما قبل الإنتاج والإنتاج)، لكل منطقة. يساعدك العزل متعدد المستويات على عدم مشاركة الأسرار عبر التطبيقات والبيئات والمناطق، كما أنه يقلل من التهديد إذا كان هناك خرق.

لماذا يوصى بخزائن مفاتيح منفصلة

تحدد مخازن المفاتيح الحدود الأمنية للبيانات السرية المخزنة. يؤدي تجميع الأسرار في نفس المخزن إلى زيادة نصف قطر الانفجار لحدث أمني لأن الهجمات قد تكون قادرة على الوصول إلى الأسرار عبر المخاوف. لتقليل الوصول عبر المخاوف، ضع في اعتبارك البيانات السرية التي يجب أن يمتلكها تطبيق معين، ثم افصل مخازن المفاتيح بناءً على هذا التحديد. يعتبر فصل مخازن المفاتيح عن طريق التطبيق هو الحد الأكثر تداولاً. ومع ذلك، يمكن أن تكون حدود الأمان أكثر دقة للتطبيقات الكبيرة، على سبيل المثال، لكل مجموعة من الخدمات ذات الصلة.

التحكم في الوصول إلى المخزن الخاص بك

مفاتيح التشفير والبيانات السرية مثل الشهادات وسلاسل الاتصال وكلمات المرور حساسة وحيوية للأعمال. تحتاج إلى تأمين الوصول إلى المخازن الرئيسية الخاصة بك من خلال السماح فقط للتطبيقات والمستخدمين المصرح لهم. توفر ميزات أمان Azure Key Vault نظرة عامة على نموذج الوصول إلى Key Vault. يشرح المصادقة والتخويل. كما يصف أيضاً كيفية تأمين الوصول إلى مخازن المفاتيح الخاصة بك.

فيما يلي توصيات للتحكم في الوصول إلى المخزن الخاص بك:

• تأمين الوصول إلى اشتراكك ومجموعة الموارد وخزائن المفاتيح باستخدام نموذج إذن التحكم في الوصول استنادا إلى الدور (RBAC) لمستوى البيانات.
  • تعيين أدوار التحكم في الوصول استنادا إلى الدور في نطاق Key Vault للتطبيقات والخدمات وأحمال العمل التي تتطلب وصولا مستمرا إلى Key Vault
  • تعيين أدوار RBAC المؤهلة في الوقت المناسب للمشغلين والمسؤولين وحسابات المستخدمين الأخرى التي تتطلب وصولا متميزا إلى Key Vault باستخدام إدارة الهويات المتميزة (PIM)
    • طلب موافق واحد على الأقل
    • فرض المصادقة متعددة العوامل
• تقييد الوصول إلى الشبكة باستخدام الارتباط الخاص وجدار الحماية والشبكات الظاهرية

هام

يعرف نموذج إذن نهج الوصول القديمة الثغرات الأمنية والافتقار إلى دعم إدارة الهوية المخصخصة ولا يجب استخدامه للبيانات الهامة وأحمال العمل.

تشغيل حماية البيانات لمخزنك

شغِّل الحماية من الحذف للحماية من الحذف الضار أو العرضي للبيانات السرية ومخزن المفاتيح حتى بعد تشغيل الحذف المبدئي.

لمزيد من المعلومات حول الحذف المبدئي، راجع نظرة عامة حول الحذف المبدئي في Azure Key Vault.

بدوره على التسجيل

شغِّل التسجيل لمخزنك. أيضاً، أعدّ التنبيهات.

نسخة احتياطية

تمنع الحماية من الإزالة الحذف الضار والعارض لكائنات المخزن لمدة تصل إلى 90 يومًا. في السيناريوهات، عندما لا تكون الحماية من الإزالة خيارا ممكنا، نوصي بعناصر مخزن النسخ الاحتياطي، والتي لا يمكن إعادة إنشائها من مصادر أخرى مثل مفاتيح التشفير التي تم إنشاؤها داخل المخزن.

لمزيد من المعلومات حول النسخ الاحتياطي، راجع النسخ الاحتياطي والاستعادة في Azure Key Vault.

حلول متعددة المستأجرين Key Vault

يتم إنشاء حل متعدد المستأجرين على بنية حيث يتم استخدام المكونات لخدمة العديد من العملاء أو المستأجرين. غالبًا ما تُستخدم الحلول متعددة المستخدمين لدعم حلول البرمجيات كخدمة (SaaS). إذا كنت تقوم بإنشاء حل متعدد المستأجرين يتضمن Key Vault، فمن المستحسن استخدام Key Vault واحد لكل عميل لتوفير عزل لبيانات العملاء وأحمال العمل، ومراجعة تعدد المستأجرين وAzure Key Vault.

الأسئلة المتداولة:

هل يمكنني استخدام تعيينات نموذج عنصر نطاق عنصر التحكم في الوصول المستند إلى الدور (RBAC) Key Vault لتوفير العزل لفرق التطبيق داخل Key Vault؟

‏‏لا. يسمح نموذج إذن التحكم في الوصول استنادا إلى الدور بتعيين الوصول إلى الكائنات الفردية في Key Vault للمستخدم أو التطبيق، ولكن للقراءة فقط. تتطلب أي عمليات إدارية مثل التحكم في الوصول إلى الشبكة والمراقبة وإدارة الكائنات أذونات على مستوى المخزن. يوفر وجود Key Vault واحد لكل تطبيق عزلا آمنا للمشغلين عبر فرق التطبيق.

الخطوات التالية

تعرف على المزيد حول أفضل ممارسات الإدارة الرئيسية:

• أفضل الممارسات لإدارة الأسرار في Key Vault
• أفضل الممارسات ل Azure Managed HSM