Osvědčené postupy pro správu tajných kódů v Key Vault

Článek
06/01/2023

Azure Key Vault umožňuje bezpečně ukládat přihlašovací údaje služby nebo aplikace, jako jsou hesla a přístupové klíče, jako jsou tajné kódy. Všechny tajné kódy ve vašem trezoru klíčů jsou šifrované pomocí softwarového klíče. Když používáte Key Vault, už nemusíte do svých aplikací ukládat informace o zabezpečení. Když nebudete muset ukládat informace o zabezpečení v aplikacích, eliminujete potřebu, aby byly tyto informace součástí kódu.

Příklady tajných kódů, které by měly být uloženy v Key Vault:

Tajné kódy klientské aplikace
Připojovací řetězce
Hesla
Přístupové klíče (Redis Cache, Azure Event Hubs, Azure Cosmos DB)
Klíče SSH

Všechny další citlivé informace, jako jsou IP adresy, názvy služeb a další nastavení konfigurace, by měly být uložené v Azure App Configuration a ne v Key Vault.

Každý jednotlivý trezor klíčů definuje hranice zabezpečení pro tajné kódy. V případě jednoho trezoru klíčů na aplikaci, oblast a prostředí doporučujeme, abyste aplikaci poskytli podrobnou izolaci tajných kódů.

Další informace o osvědčených postupech pro Key Vault najdete v tématu Osvědčené postupy pro použití Key Vault.

Konfigurace a ukládání

Uložte informace o přihlašovacích údajích vyžadovaných pro přístup k databázi nebo službě v hodnotě tajného klíče. V případě složených přihlašovacích údajů, jako je uživatelské jméno a heslo, je možné je uložit jako připojovací řetězec nebo objekt JSON. Další informace vyžadované pro správu by měly být uložené ve značkách, tj. v konfiguraci obměně.

Další informace o tajných kódech najdete v tématu Informace o tajných kódech Azure Key Vault.

Rotace tajných kódů

Tajné kódy se často ukládají do paměti aplikace jako proměnné prostředí nebo nastavení konfigurace pro celý životní cyklus aplikace, takže jsou citlivé na nežádoucí vystavení. Vzhledem k tomu, že jsou tajné kódy citlivé na únik nebo odhalení, je důležité je často obměňovat, alespoň každých 60 dnů.

Další informace o procesu obměně tajných kódů najdete v tématu Automatizace obměně tajného kódu pro prostředky, které mají dvě sady přihlašovacích údajů pro ověřování.

Přístup a izolace sítě

Odhalení trezorů můžete snížit tak, že určíte, které IP adresy k nim mají přístup. Nakonfigurujte bránu firewall tak, aby umožňovala přístup k tajným kódům v trezoru jenom aplikacím a souvisejícím službám, aby se snížila schopnost útočníků přistupovat k tajným klíčům.

Další informace o zabezpečení sítě najdete v tématu Konfigurace nastavení sítě Azure Key Vault.

Aplikace by navíc měly mít přístup s nejnižšími oprávněními, protože mají přístup jenom ke čtení tajných kódů. Přístup k tajným kódům je možné řídit pomocí zásad přístupu nebo řízení přístupu na základě role v Azure.

Další informace o řízení přístupu v Azure Key Vault najdete tady:

Limity služeb a ukládání do mezipaměti

Key Vault byl původně vytvořen s omezeními omezování zadanými v části Limity služby Azure Key Vault. Pokud chcete maximalizovat míru propustnosti, tady jsou dva doporučené osvědčené postupy:

Tajné kódy ve vaší aplikaci ukládejte do mezipaměti nejméně osm hodin.
Implementujte exponenciální logiku opakování pro zpracování scénářů, kdy dojde k překročení limitů služeb.

Další informace o doprovodných materiálech k omezování najdete v tématu Pokyny k omezování azure Key Vault.

Monitorování

Pokud chcete monitorovat přístup k tajným kódům a jejich životnímu cyklu, zapněte protokolování Key Vault. Pomocí Služby Azure Monitor můžete monitorovat všechny aktivity tajných kódů ve všech trezorech na jednom místě. Nebo použijte Azure Event Grid k monitorování životního cyklu tajných kódů, protože má snadnou integraci s Azure Logic Apps a Azure Functions.

Další informace naleznete v tématu:

Ochrana před zálohováním a vymazáním

Zapněte ochranu proti vymazání , abyste se mohli chránit před škodlivým nebo náhodným odstraněním tajných kódů. Ve scénářích, kdy ochrana proti vymazání není možná, doporučujeme zálohovat tajné kódy, které nelze znovu vytvořit z jiných zdrojů.