أفضل الممارسات لاستخدام Azure Key Vault

يحمي Azure Key Vault مفاتيح التشفير والبيانات السرية مثل الشهادات وسلاسل الاتصال وكلمات المرور. تساعدك هذه المقالة على تحسين استخدامك لمخازن المفاتيح.

استخدم مخازن مفاتيح منفصلة

توصيتنا هي استخدام مخزن لكل تطبيق لكل بيئة (التطوير وما قبل الإنتاج والإنتاج)، لكل منطقة. يساعدك العزل الدقيق على عدم مشاركة البيانات السرية عبر التطبيقات والبيئات والمناطق، كما أنه يقلل من التهديد إذا كان هناك خرق.

لماذا يوصى بمخازن مفاتيح منفصلة

تحدد مخازن المفاتيح الحدود الأمنية للبيانات السرية المخزنة. يؤدي تجميع البيانات السرية في نفس الخزنة إلى زيادة⁧⁩ نصف قطر الانفجار⁧⁩ لحدث أمني؛ لأن الهجمات قد تكون قادرة على الوصول إلى البيانات السرية عبر المخاوف. لتقليل الوصول عبر المخاوف، ضع في اعتبارك البيانات السرية التي يجب أن يمتلكها تطبيق معين، ثم افصل مخازن المفاتيح بناءً على هذا التحديد. يعتبر فصل مخازن المفاتيح عن طريق التطبيق هو الحد الأكثر تداولاً. ومع ذلك، يمكن أن تكون حدود الأمان أكثر دقة للتطبيقات الكبيرة، على سبيل المثال، لكل مجموعة من الخدمات ذات الصلة.

التحكم في الوصول إلى المخزن الخاص بك

مفاتيح التشفير والبيانات السرية مثل الشهادات وسلاسل الاتصال وكلمات المرور حساسة وحيوية للأعمال. تحتاج إلى تأمين الوصول إلى المخازن الرئيسية الخاصة بك من خلال السماح فقط للتطبيقات والمستخدمين المصرح لهم. توفر ميزات أمان Azure Key Vault نظرة عامة على نموذج الوصول إلى Key Vault. يشرح المصادقة والتخويل. كما يصف أيضاً كيفية تأمين الوصول إلى مخازن المفاتيح الخاصة بك.

توصيات للتحكم في الوصول إلى المخزن الخاص بك هي كما يلي:

• تأمين الوصول إلى اشتراكك ومجموعة الموارد ومخازن المفاتيح باستخدام التحكم في الوصول المستند إلى الدور (RBAC).
• تعيين أدوار التحكم في الوصول استنادا إلى الدور في نطاق Key Vault للتطبيقات والخدمات وأحمال العمل التي تتطلب وصولا مستمرا إلى Key Vault
• تعيين أدوار التحكم في الوصول استنادا إلى الدور المؤهلة في الوقت المناسب للمشغلين والمسؤولين وحسابات المستخدمين الأخرى التي تتطلب وصولا متميزا إلى Key Vault باستخدام إدارة الهويات المتميزة (PIM)
  • طلب موافق واحد على الأقل
  • فرض المصادقة متعددة العوامل
• تقييد الوصول إلى الشبكة باستخدام الارتباط الخاصوجدار الحماية والشبكات الظاهرية

تشغيل حماية البيانات لمخزنك

شغِّل الحماية من الحذف للحماية من الحذف الضار أو العرضي للبيانات السرية ومخزن المفاتيح حتى بعد تشغيل الحذف المبدئي.

لمزيد من المعلومات حول الحذف المبدئي، راجع نظرة عامة حول الحذف المبدئي في Azure Key Vault

بدوره على التسجيل

شغِّل التسجيل لمخزنك. أيضاً، أعدّ التنبيهات.

نسخة احتياطية

تمنع الحماية من الإزالة الحذف الضار والعارض لكائنات المخزن لمدة تصل إلى 90 يومًا. في السيناريوهات، عندما لا تكون الحماية من الإزالة خيارا ممكنا، نوصي بعناصر مخزن النسخ الاحتياطي، والتي لا يمكن إعادة إنشائها من مصادر أخرى مثل مفاتيح التشفير التي تم إنشاؤها داخل المخزن.

لمزيد من المعلومات حول النسخ الاحتياطي، راجع النسخ الاحتياطي والاستعادة Key Vault Azure

حلول متعددة المستأجرين Key Vault

يتم إنشاء حل متعدد المستأجرين على بنية حيث يتم استخدام المكونات لخدمة العديد من العملاء أو المستأجرين. غالبًا ما تُستخدم الحلول متعددة المستخدمين لدعم حلول البرمجيات كخدمة (SaaS). إذا كنت تقوم ببناء حل متعدد المستأجرين يتضمن Key Vault، فراجع Multitenancy و Azure Key Vault.

الأسئلة المتداولة:

هل يمكنني استخدام تعيينات نموذج عنصر نطاق عنصر التحكم في الوصول المستند إلى الدور (RBAC) Key Vault لتوفير العزل لفرق التطبيق داخل Key Vault؟

كلا. يسمح نموذج إذن التحكم في الوصول استنادا إلى الدور بتعيين الوصول إلى الكائنات الفردية في Key Vault للمستخدم أو التطبيق، ولكن للقراءة فقط. تتطلب أي عمليات إدارية مثل التحكم في الوصول إلى الشبكة والمراقبة وإدارة العناصر أذونات على مستوى المخزن. يوفر وجود Key Vault واحد لكل تطبيق عزلا آمنا للمشغلين عبر فرق التطبيقات.

الخطوات التالية

تعرف على المزيد حول أفضل ممارسات الإدارة الرئيسية:

• أفضل الممارسات لإدارة الأسرار في Key Vault
• أفضل الممارسات ل Azure Managed HSM