أفضل الممارسات لإدارة الأسرار في Key Vault

يسمح لك Azure Key Vault بتخزين بيانات اعتماد الخدمة أو التطبيق بأمان مثل كلمات المرور ومفاتيح الوصول كبيانات سرية. يتم تشفير جميع البيانات السرية في خزنة المفتاح الخاص بك مع مفتاح البرنامج. عند استخدام Key Vault، لن تحتاج بعد الآن إلى تخزين معلومات الأمان في التطبيقات الخاصة بك. عدم الحاجة إلى تخزين معلومات الأمان في التطبيقات يلغي الحاجة إلى جعل هذه المعلومات جزءاً من التعليمات البرمجية.

من أمثلة البيانات السرية التي يجب تخزينها في Key Vault:

• بيانات تطبيق العميل السرية
• سلاسل الاتصال
• كلمات المرور
• مفاتيح الوصول (Redis Cache، مراكز الأحداث Azure، Azure Cosmos DB)
• مفاتيح SSH

يجب تخزين أي معلومات حساسة أخرى، مثل عناوين IP وأسماء الخدمة وإعدادات التكوين الأخرى، في Azure App Configuration بدلًا من تخزينها في Key Vault.

كل خزنة مفتاح فردية تحدد حدود الأمان للبيانات السرية. بالنسبة إلى خزنة مفتاح واحد لكل تطبيق، لكل منطقة، لكل بيئة، نوصي بتوفير عزلة متعددة المستويات للبيانات السرية الخاصة بالتطبيق.

لمزيد من المعلومات حول أفضل الممارسات لـ Key Vault، راجع أفضل الممارسات لاستخدام Key Vault.

التكوين والتخزين

تخزين معلومات بيانات الاعتماد المطلوبة للوصول إلى قاعدة البيانات أو الخدمة بقيمة سرية. في حالة بيانات الاعتماد المركبة مثل اسم المستخدم / كلمة المرور، يمكن تخزينها كسلسلة اتصال أو عنصر JSON. يجب تخزين المعلومات الأخرى المطلوبة للإدارة في علامات، على سبيل المثال، تكوين التناوب.

لمزيد من المعلومات حول البيانات السرية، راجع حول بيانات Azure Key Vault السرية.

تناوب البيانات السرية

غالبا ما يتم تخزين البيانات السرية في ذاكرة التطبيق كمتغيرات البيئة أو إعدادات التكوين لدورة حياة التطبيق بأكملها، مما يجعلها حساسة للتعرض غير المرغوب فيه. نظرًا لأن البيانات السرية معرضة للتسرب أو التعرض، فمن المهم تدويرها في كثير من الأحيان، على الأقل كل 60 يومًا.

لمزيد من المعلومات حول عملية تناوب البيانات السرية، راجع أتمتة تناوب أحد البيانات السرية للموارد التي تحتوي على مجموعتين من بيانات اعتماد المصادقة.

عزل الوصول والشبكة

يمكنك تقليل التعرض للخزائن الخاصة بك عن طريق تحديد عناوين IP التي يمكنها الوصول إليها. قم بتكوين جدار الحماية للسماح للتطبيقات والخدمات ذات الصلة بالوصول إلى البيانات السرية في الخزنة فقط لتقليل قدرة المهاجمين على الوصول إلى البيانات السرية.

للحصول على مزيدٍ من المعلومات حول أمان الشبكة، راجع تكوين إعدادات شبكة Azure Key Vault.

بالإضافة إلى ذلك، يجب أن تتبع التطبيقات الوصول الأقل امتيازًا من خلال الوصول لقراءة البيانات السرية فقط. يمكن التحكم في الوصول إلى البيانات السرية إما من خلال نُهج الوصول أو باستخدام التحكم في الوصول المستند إلى دور من Azure.

لمزيد من المعلومات حول التحكم في الوصول في Azure Key Vault، راجع:

• توفير الوصول إلى مفاتيح وشهادات والبيانات السرية لـ Key Vault باستخدام عنصر تحكم في الوصول المستند إلى دور Azure
• تعيين نهج وصول لـ Key Vault

حدود الخدمة والتخزين المؤقت

تم إنشاء Key Vault في الأصل مع قيود للتحكم المحددة في حدود خدمة Azure Key Vault. لتحقيق أقصى قدر من معدلات الإنتاجية، إليك أفضل ممارسات موصى بها:

• البيانات السرية لذاكرة التخزين المؤقت في التطبيق الخاص بك لمدة ثماني ساعات على الأقل.
• تنفيذ المنطق الأسي لإعادة المحاولة للتراجع لمعالجة سيناريوهات تجاوز حدود الخدمة.

لمزيد من المعلومات حول حدود توجيه التحكم، راجع إرشادات التحكم Azure Key Vault.

المراقبة

لمراقبة الوصول إلى بياناتك السرية ودورة حياتها، قم بتشغيل تسجيل Key Vault. استخدم Azure Monitor لمراقبة جميع أنشطة البيانات السرية في جميع خزائنك في مكان واحد. أو استخدم Azure Event Grid لمراقبة دورة حياة البيانات السرية، لأنه يحتوي على تكامل سهل مع Azure Logic Apps Azure Functions.

لمزيد من المعلومات، انظر:

• Azure Key Vault كمصدر Event Grid
• تسجيل دخول Azure Key Vault
• مراقبة وتنبيه Azure Key Vault

حماية النسخ الاحتياطي والإزالة

شغّل حماية الإزالة للحماية من الحذف الضار أو العرضي للبيانات السرية. في السيناريوهات التي لا تكون فيها الحماية من الإزالة خيارًا ممكنًا، نوصي بالنسخ الاحتياطي للبيانات السرية، والتي لا يمكن إعادة إنشائها من مصادر أخرى.

معرفة المزيد

• حول البيانات السرية لـ Azure Key Vault
• أفضل الممارسات لاستخدام Key Vault