Osvědčené postupy pro používání Azure Key Vault

Azure Key Vault chrání šifrovací klíče a tajné kódy, jako jsou certifikáty, připojovací řetězce a hesla. Tento článek vám pomůže optimalizovat použití trezorů klíčů.

Použití samostatných trezorů klíčů

Doporučujeme použít trezor pro každou aplikaci a prostředí (vývoj, předprodukční a produkční prostředí) pro jednotlivé oblasti. Podrobná izolace pomáhá nesdílet tajné kódy mezi aplikacemi, prostředími a oblastmi a také snížit hrozbu v případě porušení zabezpečení.

Proč doporučujeme samostatné trezory klíčů

Trezory klíčů definují hranice zabezpečení pro uložené tajné kódy. Seskupení tajných kódů do stejného trezoru zvyšuje poloměr výbuchu události zabezpečení, protože útoky mohou mít přístup k tajným kódům napříč různými obavami. Pokud chcete omezit přístup napříč problémy, zvažte, k jakým tajným kódům by měla mít konkrétní aplikace přístup, a pak na základě tohoto vymezení oddělte trezory klíčů. Nejběžnější hranicí je oddělení trezorů klíčů podle aplikace. Hranice zabezpečení ale můžou být u velkých aplikací podrobnější, například podle skupiny souvisejících služeb.

Řízení přístupu k trezoru

Šifrovací klíče a tajné kódy, jako jsou certifikáty, připojovací řetězce a hesla, jsou citlivé a pro důležité obchodní informace. Přístup k trezorům klíčů potřebujete zabezpečit povolením jenom autorizovaných aplikací a uživatelů. Funkce zabezpečení Azure Key Vault poskytují přehled modelu Key Vault přístupu. Vysvětluje ověřování a autorizaci. Popisuje také, jak zabezpečit přístup k trezorům klíčů.

Následující doporučení pro řízení přístupu k trezoru:

• Zamkněte přístup k předplatnému, skupině prostředků a trezorům klíčů pomocí řízení přístupu na základě role (RBAC).
• Přiřazení rolí RBAC v oboru Key Vault aplikacím, službám a úlohám, které vyžadují trvalý přístup k Key Vault
• Přiřazení oprávněných rolí RBAC za běhu operátorům, správcům a dalším uživatelským účtům vyžadujícím privilegovaný přístup k Key Vault pomocí Privileged Identity Management (PIM)
  • Vyžadovat alespoň jednoho schvalovatele
  • Vynucení vícefaktorového ověřování
• Omezení síťového přístupu pomocí Private Link, brány firewall a virtuálních sítí

Zapnutí ochrany dat pro trezor

Pokud chcete chránit před škodlivým nebo náhodným odstraněním tajných klíčů a trezoru klíčů, i když je zapnuté obnovitelné odstranění, zapněte ochranu před vymazáním.

Další informace najdete v tématu Přehled obnovitelného odstranění Azure Key Vault.

Zapněte protokolování.

Zapněte protokolování trezoru. Nastavte také upozornění.

Backup

Ochrana před vymazáním zabraňuje škodlivému a náhodnému odstranění objektů trezoru po dobu až 90 dnů. Ve scénářích, kdy není ochrana před vymazáním možná, doporučujeme objekty trezoru záloh, které nelze znovu vytvořit z jiných zdrojů, jako jsou šifrovací klíče generované v trezoru.

Další informace o zálohování najdete v tématu Zálohování a obnovení azure Key Vault.

Víceklientská řešení a Key Vault

Řešení s více tenanty je postavené na architektuře, ve které se komponenty používají k obslue více zákazníků nebo tenantů. Víceklientská řešení se často používají k podpoře řešení SaaS (software jako služba). Pokud vytváříte víceklientské řešení, které zahrnuje Key Vault, přečtěte si téma Víceklientská architektura a Azure Key Vault.

Nejčastější dotazy:

Můžu použít přiřazení oboru objektů modelu řízení přístupu na základě role (RBAC) Key Vault k zajištění izolace týmů aplikací v rámci Key Vault?

No. Model oprávnění RBAC umožňuje přiřadit přístup k jednotlivým objektům v Key Vault uživateli nebo aplikaci, ale pouze pro čtení. Všechny operace správy, jako je řízení přístupu k síti, monitorování a správa objektů, vyžadují oprávnění na úrovni trezoru. Jedna Key Vault pro každou aplikaci zajišťuje bezpečnou izolaci pro operátory napříč týmy aplikací.

Další kroky

Další informace o osvědčených postupech správy klíčů:

• Osvědčené postupy pro správu tajných kódů v Key Vault
• Osvědčené postupy pro azure managed HSM