Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje pokyny k ochraně tajných kódů a snížení rizika neoprávněného přístupu. Postupujte podle těchto pokynů a ujistěte se, že neukládáte citlivé informace, jako jsou přihlašovací údaje v kódu, GitHub úložiště, protokoly, kanály kontinuální integrace a průběžné nasazování (CI/CD) atd. Pokyny v tomto článku jsou kompilovány z doporučení jednotlivých služeb a také z srovnávacího testu Microsoft Cloud Security (MCSB).
Tento článek odpovídá modelu zabezpečení microsoftu Zero Trust, který vyžaduje explicitní ověření, přístup s nejnižšími oprávněními a předpoklad porušení zabezpečení. Předepisující bezpečnostní kontroly s vynucením zásad Azure Policy najdete v tématu Microsoft Cloud Security Benchmark v2 – Privileged Access a MCSB v2 – Ochrana dat.
Tajné zjišťování a prevence
Než budete moct zabezpečit svá tajemství, potřebujete mít přehled o tom, kde se nacházejí, a zabránit jejich zpřístupnění v první řadě.
Proveďte audit k identifikaci tajných kódů: Provedení důkladného auditu systémů a aplikací pomáhá identifikovat všechny citlivé informace, které potřebují ochranu. To zahrnuje hesla, klíče rozhraní API, připojovací řetězec a další přihlašovací údaje. Pravidelné audity zajišťují, aby se nové tajné kódy zohledovaly a stávající tajné kódy byly správně spravované. Dokonce i dynamicky vytvořená tajemství, jako jsou tokeny OAuth, které mohou být dočasná, je stále potřeba chránit se stejnou důsledností jako dlouhodobá tajemství.
Vyhněte se pevně zakódování tajných kódů: Vkládání tajných kódů přímo do kódu nebo konfiguračních souborů představuje významné bezpečnostní riziko. Pokud dojde k ohrožení vaší kódové základny, jsou ohrožena i vaše tajemství. Místo toho použijte proměnné prostředí nebo nástroje pro správu konfigurace, které udržují tajné kódy mimo zdrojový kód. Tento postup minimalizuje riziko náhodné expozice a zjednodušuje proces aktualizace tajných kódů. Kromě toho integrace načítání citlivých informací do automatizovaného nasazovacího kanálu a použití vzorů vkládání citlivých informací může zabránit náhodnému odhalení citlivých informací v protokolech nebo ve správě verzí. Další informace najdete v tématu Doporučení pro ochranu tajných kódů aplikací.
Implementace nástrojů pro kontrolu tajných kódů: Pravidelná kontrola základu kódu pro vložené tajné kódy může zabránit náhodnému vystavení. Nástroje, jako je Azure DevOps Skener přihlašovacích údajů a GitHub prohledávání tajných kódů vás můžou automaticky zjišťovat a upozorňovat na tajné kódy nalezené v úložištích. Integrace těchto nástrojů do kanálu CI/CD zajišťuje průběžné monitorování. Zacházejte s veškerými tajnými údaji, které tyto nástroje pro kontrolu naleznou, jako s kompromitovanými, což znamená, že by se měly okamžitě zrušit a nahradit, aby se zachovala integrita vašeho bezpečnostního postoje.
Zabezpečené úložiště a šifrování
Ochrana tajných kódů vyžaduje zabezpečené mechanismy úložiště a správné šifrování ve všech fázích.
Použití zabezpečených úložišť klíčů: Služby jako Azure Key Vault a Azure Managed HSM poskytují robustní funkce zabezpečení, včetně řízení přístupu, protokolování a automatické obměně. Tento přístup centralizuje správu tajných kódů a snižuje riziko neoprávněného přístupu. Pokud chcete ještě větší zabezpečení, zejména u vysoce citlivých nebo důležitých tajných kódů, zvažte šifrování tajného kódu pomocí úložiště klíčů v modelu hardwarového zabezpečení (HSM), které nabízí vylepšenou ochranu v porovnání se softwarovými úložišti tajných kódů. Přehled všech nabídek správy klíčů v Azure a doprovodných materiálech, které si vybrat, najdete v tématu Správa klíčů v Azure a Jak zvolit správné řešení správy klíčů.
Šifrujte tajemství v nečinnosti a během přenosu: Azure Key Vault bezpečně ukládá tajemství pomocí šifrování obálky, kde šifrovací klíče dat (DEK) jsou šifrované šifrovacími klíči klíčů (KEK), které poskytují další vrstvu zabezpečení. K šifrování přenášených dat mezi aplikacemi a trezorem klíčů použijte zabezpečené komunikační protokoly, jako je HTTPS. V Azure se šifrování neaktivních uložených dat implementuje napříč různými službami pomocí šifrování AES 256, zatímco přenášená data jsou zabezpečená prostřednictvím protokolu TLS a MACsec. Další podrobnosti najdete v tématu Šifrování neaktivních uložených a přenášených dat.
Implementujte izolaci sítě: Nakonfigurujtebrány firewall a skupiny zabezpečení sítě , abyste omezili přístup k trezorům klíčů. Povolte přístup k tajným kódům jenom důvěryhodným aplikacím a službám, minimalizaci prostoru pro útoky a zabránění neoprávněnému přístupu. Zvažte použití několika klíčových úložišť k vytvoření hranic izolace pro různé komponenty, abyste zajistili, že pokud dojde k ohrožení zabezpečení jedné komponenty, nemůže získat kontrolu nad jinými tajnými informacemi ani nad celou úlohou.
Řízení přístupu a identita
Správa toho, kdo a co má přístup k tajným kódům, je důležitá pro zachování zabezpečení.
Spravované identity: Spravované identity Azure poskytují bezpečný způsob ověřování aplikací ve službách Azure bez uložení přihlašovacích údajů do kódu. Povolením spravovaných identit pro Azure prostředky můžete bezpečně přistupovat k Azure Key Vault a dalším službám, což snižuje potřebu ručního zpracování tajných kódů. Tento přístup nejen minimalizuje vytváření tajných kódů, ale také snižuje prostor pro potenciální porušení zabezpečení, protože odpovědnost za správu přihlašovacích údajů se deleguje na platformu.
Použití podrobného řízení přístupu: Postupujte podle principu nejnižších oprávnění tím, že u tajných kódů použijete podrobné řízení přístupu. Pomocí Azure řízení přístupu na základě role (RBAC) zajistěte, aby k určitým tajemstvím měli přístup pouze autorizované entity. Pravidelně kontrolujte a aktualizujte přístupová oprávnění, abyste zabránili neoprávněnému přístupu. Implementovat různé role, jako je uživatel, správce a auditor pro správu přístupu k tajným kódům, a zajistit tak, aby měly odpovídající úroveň oprávnění jenom důvěryhodné identity. Viz průvodce Azure Key Vault RBAC.
Správa životního cyklu tajných kódů
Tajné kódy vyžadují průběžnou správu po celý jejich životní cyklus od vytvoření až po vyřazení z provozu.
Pravidelně obměňujte tajné kódy: Tajné kódy jsou náchylné k úniku nebo expozici v průběhu času. Pravidelné obměně tajných kódů snižuje riziko neoprávněného přístupu. Pro určité tajné kódy můžete rotovat tajné kódy v Azure Key Vault; pro ty, které nelze automaticky rotovat, nastavte proces ruční rotace a ujistěte se, že jsou odstraněny, když už se nepoužívají. Automatizace procesu rotace tajných kódů a začlenění redundance do správy tajných kódů může zajistit, že rotace nenaruší dostupnost služby. Implementace logiky opakování a vzorů souběžného přístupu v kódu může pomoct minimalizovat problémy během okna rotace.
Bezpečné distribuce tajných kódů: Při distribuci tajných kódů se ujistěte, že jsou bezpečně sdíleny v rámci organizace i mimo ni. Používejte nástroje navržené pro zabezpečené sdílení a do plánů zotavení po havárii zahrňte postupy obnovy důvěrných údajů. Klíč by měl být okamžitě obnoven, pokud dojde k jeho ohrožení nebo úniku. Pro každého příjemce používejte jedinečné klíče, nikoli klíče ke sdílení, a to i v případě, že mají podobné vzory přístupu. Tento postup zjednodušuje správu a odvolávání klíčů a zajišťuje, aby ohrožené klíče mohly být odvolány, aniž by to mělo vliv na ostatní uživatele.
Monitorování a protokolování
Nepřetržité monitorování umožňuje detekci podezřelých aktivit a podporuje požadavky na dodržování předpisů.
- Monitorování a protokolování přístupu: Povolte protokolování a monitorování systému správy tajemství ke sledování přístupu a využívání. Pomocí protokolování Key Vault nebo služeb, jako jsou Azure Monitor a Azure Event Grid, můžete monitorovat všechny aktivity související s vašimi tajnými kódy. Tím získáte přehled o tom, kdo přistupoval k vašim tajným kódům, a pomáhá zjišťovat podezřelé chování nebo potenciální incidenty zabezpečení. Udržování podrobných auditních záznamů je důležité pro kontrolu a ověřování přístupu k tajemstvím, což může pomoct zabránit krádeži identity, vyhnout se odmítnutí a snížit nepotřebnou expozici.
Pokyny specifické pro službu pro zpracování tajných kódů
Jednotlivé služby můžou mít další osvědčené postupy a pokyny pro ochranu tajných kódů. Několik příkladů:
- API Management: Použití pojmenovaných hodnot v zásadách Azure API Management s integrací Key Vault
- App Service: Použití odkazů Key Vault pro App Service a Azure Functions
- Application Gateway: Konfigurujte službu Application Gateway s ukončením protokolu TLS pomocí portálu Azure
- Automatizace: správa přihlašovacích údajů v Azure Automation
- Azure App Configuration: Tutorial: Použití odkazů na Key Vault v aplikaci ASP.NET Core
- Azure Bot Service: šifrování neaktivních uložených dat Azure Bot Service
- Azure Center pro řešení SAP: Azure Center pro řešení SAP – Nasazení – Příprava sítě na nasazení
- Azure Communications Gateway: Vytvoření a ukládání tajných kódů
- Azure Communications Service: Vytvoření a správa přístupových tokenů
- Azure Container Apps: Spravování tajemství v Azure Container Apps
- Azure Cosmos DB: Konfigurujte klíče spravované zákazníkem pro váš účet Azure Cosmos DB
- Azure Database for PostgreSQL – flexibilní server: Azure Database for PostgreSQL – Šifrování dat flexibilního serveru pomocí klíče spravovaného zákazníkem
- Azure Databricks: integrace Key Vault v Databricks
- Azure DevTest Labs: Enable spravované identity přiřazené uživatelem na virtuálních počítačích testovacího prostředí v Azure DevTest Labs
- Azure Event Hubs: Konfigurujte klíče spravované zákazníkem pro šifrování neaktivních uložených dat Azure Event Hubs
- Azure Front Door: Azure Front Door tajné kódy
- Azure HDInsight on AKS: Požadavky na prostředky – Vytvoření Azure Key Vault
- Azure Information Protection: Podrobnosti o podpoře úložiště klíčů Azure Information Protection
- Azure Kubernetes Service (AKS): úložiště tajných kódů CSI
- Azure Managed Applications: Přístup k tajemství Key Vault při nasazení Azure Managed Applications
- Azure OpenAI: Vývoj aplikací Foundry Tools s Key Vaultem
- Azure Pipelines: Nastavení ochrany tajných kódů v Azure Pipelines
- Azure Purview: Pověření pro ověřování zdroje v Microsoft Purview
- Azure Service Bus: Integrace služby Bus s konektorem služby
- Azure SignalR Service: Key Vault odkaz na tajný kód v nastavení šablony adresy URL
- Azure Spring Apps: Integrujte Azure Key Vault s Service Connector
- Azure Stack Edge: Spravování tajných kódů Azure Stack Edge pomocí Azure Key Vault
- Azure Stack Hub: Rotace tajných údajů
- Azure Web PubSub: Přidat vlastní certifikát
- Zálohování: Konfigurace trezoru pro šifrování pomocí klíčů spravovaných zákazníkem
- Cognitive Services: Vyvíjejte aplikace Azure Cognitive Services pomocí Key Vault
- Data Factory: Uložte přihlašovací údaje do Azure Key Vault
- ExpressRoute: Nakonfigurujte šifrování MACsec pro ExpressRoute Direct.
- Funkce: Použití odkazů na Key Vault pro App Service a Azure Functions
- Key Vault: O tajemstvích Azure Key Vault
- Logic Apps: Standardní nastavení aplikace Logic Apps
- Služba Machine Learning: Použití tajemství ověřovacích přihlašovacích údajů v úlohách Azure Machine Learning
- Service Fabric: Podpora KeyVaultReference pro aplikace Service Fabric
- SQL IaaS: Konfigurace integrace služby Azure Key Vault pro SQL Server na virtuálních počítačích Azure (Resource Manager)
- Úložiště: Spravování klíčů účtu úložiště s Key Vault a Azure CLI
Další kroky
Minimalizace rizika zabezpečení je sdílená odpovědnost. Musíte být proaktivní při provádění kroků pro zabezpečení úloh. Přečtěte si další informace o sdílené odpovědnosti v cloudu.
- Další osvědčené postupy a vzory zabezpečení najdete v sekci Osvědčené postupy zabezpečení Azure pro použití při navrhování, nasazování a správě vašich cloudových řešení pomocí Azure.
- Projděte si ovládací prvky Microsoft Cloud Security Benchmark v2 – Privileged Access pro komplexní tajné kódy a pokyny k privilegovanému přístupu s mapováním Azure Policy.
- Přečtěte si o iniciativě Microsoft Secure Future (SFI), osvědčených interních postupech Microsoftu pro zabezpečení a ochranu identit a tajemství, které doporučujeme i našim zákazníkům.
- Prozkoumejte nasazení Zero Trust pro identitu pro pokyny k implementaci principů Zero Trust pro řízení identit a přístupu.