Osvědčené postupy pro používání služby Azure Key Vault
Azure Key Vault chrání šifrovací klíče a tajné kódy, jako jsou certifikáty, připojovací řetězec a hesla. Tento článek vám pomůže optimalizovat používání trezorů klíčů.
Použití samostatných trezorů klíčů
Naším doporučením je použít trezor pro každou aplikaci pro každé prostředí (vývoj, předprodukční a produkční prostředí) pro každou oblast. Podrobná izolace vám pomůže nesdílit tajné kódy mezi aplikacemi, prostředími a oblastmi a také snížit hrozbu v případě porušení zabezpečení.
Proč doporučujeme oddělit trezory klíčů
Trezory klíčů definují hranice zabezpečení pro uložené tajné kódy. Seskupení tajných kódů do stejného trezoru zvyšuje poloměr výbuchu události zabezpečení, protože útoky můžou mít přístup k tajným kódům napříč obavami. Pokud chcete zmírnit přístup napříč obavami, zvažte, k jakým tajným kódům by měla mít konkrétní aplikace přístup, a pak na základě tohoto vymezení oddělte trezory klíčů. Nejběžnější hranicí je oddělení trezorů klíčů podle aplikace. Hranice zabezpečení ale můžou být podrobnější pro velké aplikace, například pro každou skupinu souvisejících služeb.
Řízení přístupu k trezoru
Šifrovací klíče a tajné kódy, jako jsou certifikáty, připojovací řetězec a hesla, jsou citlivé a důležité pro firmu. Potřebujete zabezpečit přístup k trezorům klíčů tím, že povolíte jenom autorizované aplikace a uživatele. Funkce zabezpečení služby Azure Key Vault poskytují přehled modelu přístupu ke službě Key Vault. Vysvětluje ověřování a autorizaci. Popisuje také, jak zabezpečit přístup k trezorům klíčů.
Doporučení pro řízení přístupu k trezoru jsou následující:
- Uzamkněte přístup k předplatnému, skupině prostředků a trezorům klíčů pomocí modelu oprávnění řízení přístupu na základě role (RBAC) pro rovinu dat.
- Přiřazení rolí RBAC v oboru služby Key Vault pro aplikace, služby a úlohy vyžadující trvalý přístup ke službě Key Vault
- Přiřazení oprávněných rolí RBAC za běhu pro operátory, správce a další uživatelské účty vyžadující privilegovaný přístup ke službě Key Vault pomocí privileged Identity Management (PIM)
- Vyžadovat aspoň jednoho schvalovatele
- Vynucení vícefaktorového ověřování
- Omezení síťového přístupu pomocí služby Private Link, brány firewall a virtuálních sítí
Důležité
Starší model oprávnění zásad přístupu obsahuje známá ohrožení zabezpečení a chybí podpora správy identit Priviliged a neměla by se používat pro důležitá data a úlohy.
Zapnutí ochrany dat pro trezor
Zapněte ochranu před vymazáním, která chrání před škodlivým nebo náhodným odstraněním tajných kódů a trezoru klíčů i po zapnutí obnovitelného odstranění.
Další informace najdete v přehledu obnovitelného odstranění služby Azure Key Vault.
Zapněte protokolování.
Zapněte protokolování trezoru. Nastavte také upozornění.
Backup
Ochrana před vymazáním zabraňuje škodlivému a náhodnému odstranění objektů trezoru po dobu až 90 dnů. V situacích, kdy ochrana před vymazáním není možná, doporučujeme objekty trezoru záloh, které není možné znovu vytvořit z jiných zdrojů, jako jsou šifrovací klíče vygenerované v rámci trezoru.
Další informace o zálohování najdete v tématu Zálohování a obnovení služby Azure Key Vault.
Víceklientová řešení a Key Vault
Víceklientové řešení je postavené na architektuře, ve které se komponenty používají k poskytování více zákazníků nebo tenantů. Víceklientské řešení se často používají k podpoře řešení saaS (software jako služba). Pokud vytváříte víceklientské řešení, které zahrnuje službu Key Vault, doporučujeme pro zákazníka použít jeden trezor klíčů, který poskytuje izolaci pro data a úlohy zákazníků, projděte si víceklientské prostředí a Službu Azure Key Vault.
Nejčastější dotazy:
Můžu k zajištění izolace aplikačních týmů ve službě Key Vault ve službě Key Vault použít přiřazení modelu přístupu na základě role (RBAC)?
Ne. Model oprávnění RBAC umožňuje přiřadit přístup k jednotlivým objektům ve službě Key Vault uživateli nebo aplikaci, ale jen pro čtení. Všechny operace správy, jako je řízení přístupu k síti, monitorování a správa objektů, vyžadují oprávnění na úrovni trezoru. Mít jednu službu Key Vault na aplikaci poskytuje zabezpečenou izolaci pro operátory napříč aplikačními týmy.
Další kroky
Další informace o osvědčených postupech správy klíčů: