Osvědčené postupy pro správu tajných kódů ve službě Key Vault
Azure Key Vault umožňuje bezpečně ukládat přihlašovací údaje služby nebo aplikace, jako jsou hesla a přístupové klíče jako tajné kódy. Všechny tajné kódy ve vašem trezoru klíčů jsou šifrované pomocí softwarového klíče. Při používání služby Key Vault už nemusíte ukládat informace o zabezpečení ve svých aplikacích. Nemusíte ukládat informace o zabezpečení v aplikacích, a proto není nutné, aby tyto informace byly součástí kódu.
Příklady tajných kódů, které by měly být uložené ve službě Key Vault:
- Tajné kódy klientských aplikací
- Připojovací řetězce
- Passwords
- Přístupové klíče (Redis Cache, Azure Event Hubs, Azure Cosmos DB)
- Klíče SSH
Všechny další citlivé informace, jako jsou IP adresy, názvy služeb a další nastavení konfigurace, by se měly ukládat do Aplikace Azure Konfigurace, nikoli ve službě Key Vault.
Každý jednotlivý trezor klíčů definuje hranice zabezpečení tajných kódů. Pro jeden trezor klíčů na aplikaci pro každou oblast a prostředí doporučujeme poskytovat podrobnou izolaci tajných kódů pro aplikaci.
Další informace o osvědčených postupech pro Key Vault najdete v tématu Osvědčené postupy pro použití služby Key Vault.
Konfigurace a ukládání
Uložte informace o přihlašovacích údajích potřebných pro přístup k databázi nebo službě v hodnotě tajného kódu. V případě složených přihlašovacích údajů, jako je uživatelské jméno nebo heslo, je možné je uložit jako objekt připojovací řetězec nebo JSON. Další informace vyžadované pro správu by měly být uloženy ve značkách, tj. v konfiguraci rotace.
Další informace o tajných klíči najdete v tématu Informace o tajných klíči služby Azure Key Vault.
Rotace tajných kódů
Tajné kódy jsou často uložené v paměti aplikace jako proměnné prostředí nebo nastavení konfigurace pro celý životní cyklus aplikace, což je citlivé na nežádoucí vystavení. Protože tajné kódy jsou citlivé na únik nebo vystavení, je důležité je často otáčet, a to nejméně každých 60 dnů.
Další informace o procesu obměně tajných kódů najdete v tématu Automatizace obměně tajného kódu pro prostředky, které mají dvě sady přihlašovacích údajů pro ověřování.
Přístup a izolace sítě
Vystavení trezorů můžete snížit tak, že zadáte, ke kterým IP adresám má přístup. Nakonfigurujte bránu firewall tak, aby aplikacím a souvisejícím službám umožňovala přístup k tajným kódům v trezoru, aby se snížila schopnost útočníků přistupovat k tajným kódům.
Další informace o zabezpečení sítě najdete v tématu Konfigurace nastavení sítě služby Azure Key Vault.
Kromě toho by aplikace měly sledovat nejméně privilegovaný přístup, protože mají přístup jenom ke čtení tajných kódů. Přístup k tajným kódům je možné řídit pomocí zásad přístupu nebo pomocí řízení přístupu na základě role v Azure.
Další informace o řízení přístupu ve službě Azure Key Vault najdete tady:
- Poskytnutí přístupu ke klíčům, certifikátům a tajným kódům služby Key Vault pomocí řízení přístupu na základě role v Azure
- Přiřazení zásad přístupu ke službě Key Vault
Limity služeb a ukládání do mezipaměti
Služba Key Vault byla původně vytvořena s omezeními omezování specifikovanými v limitech služby Azure Key Vault. Pokud chcete maximalizovat rychlost propustnosti, tady jsou dva doporučené osvědčené postupy:
- Ukládání tajných kódů do mezipaměti v aplikaci po dobu nejméně osmi hodin.
- Implementujte exponenciální logiku opakování opakování pro zpracování scénářů, kdy dojde k překročení limitů služby.
Další informace o omezování najdete v doprovodných materiálech k omezování služby Azure Key Vault.
Sledování
Pokud chcete monitorovat přístup k tajným kódům a jejich životnímu cyklu, zapněte protokolování služby Key Vault. Pomocí služby Azure Monitor můžete monitorovat všechny aktivity tajných kódů ve všech trezorech na jednom místě. Nebo můžete použít Azure Event Grid k monitorování životního cyklu tajných kódů, protože má snadnou integraci s Azure Logic Apps a Azure Functions.
Další informace naleznete v tématu:
- Azure Key Vault jako zdroj Event Gridu
- Protokolování v Azure Key Vault
- Monitorování a upozorňování pro Azure Key Vault
Ochrana před zálohováním a vyprázdněním
Zapněte ochranu před vymazáním a chraňte před škodlivými nebo náhodnými odstraněními tajných kódů. V situacích, kdy ochrana před vymazáním není možná, doporučujeme tajné kódy zálohování , které není možné znovu vytvořit z jiných zdrojů.