أفضل الممارسات لاستخدام Azure Key Vault

يحمي Azure Key Vault مفاتيح التشفير والأسرار مثل الشهادات وسلاسل الاتصال وكلمات المرور. تساعدك هذه المقالة على تحسين استخدامك لمخازن المفاتيح.

استخدام خزائن مفاتيح منفصلة

توصيتنا هي استخدام مخزن لكل تطبيق لكل بيئة (التطوير وما قبل الإنتاج والإنتاج)، لكل منطقة. يساعدك العزل متعدد المستويات على عدم مشاركة الأسرار عبر التطبيقات والبيئات والمناطق، كما أنه يقلل من التهديد إذا كان هناك خرق.

لماذا نوصي بمخازن مفاتيح منفصلة

تحدد مخازن المفاتيح الحدود الأمنية للبيانات السرية المخزنة. يؤدي تجميع الأسرار في نفس المخزن إلى زيادة نصف قطر الانفجار لحدث أمني لأن الهجمات قد تكون قادرة على الوصول إلى الأسرار عبر المخاوف. للتخفيف من الوصول عبر المخاوف، ضع في اعتبارك الأسرار التي يجب أن يكون لتطبيق معين حق الوصول إليها، ثم افصل خزائن المفاتيح الخاصة بك بناء على هذا التحديد. يعتبر فصل مخازن المفاتيح عن طريق التطبيق هو الحد الأكثر تداولاً. ومع ذلك، يمكن أن تكون حدود الأمان أكثر دقة للتطبيقات الكبيرة، على سبيل المثال، لكل مجموعة من الخدمات ذات الصلة.

التحكم في الوصول إلى مخزنك

مفاتيح التشفير والأسرار مثل الشهادات وسلاسل الاتصال وكلمات المرور حساسة وحاسمة للأعمال. تحتاج إلى تأمين الوصول إلى خزائن المفاتيح الخاصة بك عن طريق السماح فقط للتطبيقات والمستخدمين المصرح لهم. توفر ميزات أمان Azure Key Vault نظرة عامة على نموذج الوصول إلى Key Vault. وهو يشرح المصادقة والتخويل. كما يصف كيفية تأمين الوصول إلى خزائن المفاتيح الخاصة بك.

فيما يلي توصيات للتحكم في الوصول إلى المخزن الخاص بك:

• تأمين الوصول إلى اشتراكك ومجموعة الموارد وخزائن المفاتيح باستخدام نموذج إذن التحكم في الوصول استنادا إلى الدور (RBAC) لمستوى البيانات.
  • تعيين أدوار التحكم في الوصول استنادا إلى الدور في نطاق Key Vault للتطبيقات والخدمات وأحمال العمل التي تتطلب وصولا مستمرا إلى Key Vault
  • تعيين أدوار RBAC المؤهلة في الوقت المناسب للمشغلين والمسؤولين وحسابات المستخدمين الأخرى التي تتطلب وصولا متميزا إلى Key Vault باستخدام إدارة الهويات المتميزة (PIM)
    • طلب موافق واحد على الأقل
    • فرض المصادقة متعددة العوامل
• تقييد الوصول إلى الشبكة باستخدام الارتباط الخاصوجدار الحماية والشبكات الظاهرية

هام

يعرف نموذج إذن نهج الوصول القديمة الثغرات الأمنية والافتقار إلى دعم إدارة الهوية المخصخصة ولا يجب استخدامه للبيانات الهامة وأحمال العمل.

تشغيل حماية البيانات لمخزنك

قم بتشغيل الحماية من الإزالة للحماية من الحذف الضار أو العرضي للبيانات السرية وخزنة المفاتيح حتى بعد تشغيل الحذف المبدئي.

لمزيد من المعلومات حول الحذف المبدئي، راجع نظرة عامة حول الحذف المبدئي في Azure Key Vault.

تشغيل التسجيل

قم بتشغيل التسجيل لمخزنك. أيضا، قم بإعداد التنبيهات.

Backup

تمنع الحماية من الإزالة الحذف الضار والعارض لعناصر المخزن لمدة تصل إلى 90 يوما. في السيناريوهات، عندما لا تكون الحماية من الإزالة خيارا ممكنا، نوصي بعناصر مخزن النسخ الاحتياطي، والتي لا يمكن إعادة إنشائها من مصادر أخرى مثل مفاتيح التشفير التي تم إنشاؤها داخل المخزن.

لمزيد من المعلومات حول النسخ الاحتياطي، راجع النسخ الاحتياطي والاستعادة في Azure Key Vault.

حلول متعددة المستأجرين وKey Vault

يتم بناء حل متعدد المستأجرين على بنية حيث يتم استخدام المكونات لخدمة العديد من العملاء أو المستأجرين. غالبا ما تستخدم الحلول متعددة المستأجرين لدعم حلول البرامج كخدمة (SaaS). إذا كنت تقوم بإنشاء حل متعدد المستأجرين يتضمن Key Vault، فمن المستحسن استخدام Key Vault واحد لكل عميل لتوفير عزل لبيانات العملاء وأحمال العمل، ومراجعة تعدد المستأجرين وAzure Key Vault.

الأسئلة المتداولة:

هل يمكنني استخدام تعيينات نموذج عنصر نطاق عنصر التحكم في الوصول المستند إلى الدور (RBAC) Key Vault لتوفير العزل لفرق التطبيق داخل Key Vault؟

‏‏لا. يسمح نموذج إذن التحكم في الوصول استنادا إلى الدور بتعيين الوصول إلى الكائنات الفردية في Key Vault للمستخدم أو التطبيق، ولكن للقراءة فقط. تتطلب أي عمليات إدارية مثل التحكم في الوصول إلى الشبكة والمراقبة وإدارة الكائنات أذونات على مستوى المخزن. يوفر وجود Key Vault واحد لكل تطبيق عزلا آمنا للمشغلين عبر فرق التطبيق.

الخطوات التالية

تعرف على المزيد حول أفضل ممارسات الإدارة الرئيسية:

• أفضل الممارسات لإدارة الأسرار في Key Vault
• أفضل الممارسات ل Azure Managed HSM