Úvod
Pokud chcete pochopit, co se může pokazit při správě tajných kódů konfigurace aplikace, podívejte se dál než na příběh Stevea, vedoucího vývojáře.
Steve pracoval ve společnosti pro doručování potravin pro domácí mazlíčky několik týdnů. Při zkoumání podrobností webové aplikace společnosti – webové aplikace .NET Core, která používala databázi Azure SQL k ukládání informací o objednávkách a rozhraní API třetích stran pro fakturaci platební karty a mapování zákaznických adres – Steve omylem vložili připojovací řetězec pro databázi objednávek do veřejného fóra.
O několik dní později účetní oddělení zaznamenalo, že společnost dodávala velké množství domácích mazlíčků, za které nebylo zaplaceno. Někdo použil připojovací řetězec pro přístup k databázi a vytvořil objednávky tak, že databázi aktualizuje přímo.
Poté, co Si Steve uvědomil chybu, rychle změnil heslo databáze tak, aby útočníka zamknul. Po změně hesla začal web uživatelům vracet chyby. Aplikační server potřeboval aktualizovanou konfiguraci s novým heslem. Štěpán se přihlásil přímo k aplikačnímu serveru a změnil konfiguraci aplikace (místo aby ji znovu nasadil), ale požadavky na server byly stále neúspěšné.
Steve zapomněl, že na různých serverech běžela více instancí aplikace. Změnil konfiguraci jenom pro jednu. Bylo nutné provést úplné opětovné nasazení, což způsobilo další 30minutový výpadek.
Naštěstí pro Steve, účetní oddělení bylo schopno rychle opravit chyby a pouze jeden den hodnoty objednávek byly ovlivněny. Steve nemusí být v budoucnu tak šťastný a potřebuje najít způsob, jak zlepšit zabezpečení a udržovatelnost aplikace.
Únik databázového připojovacího řetězce, klíče API nebo hesla služby může mít katastrofální následky. Možnými důsledky můžou být odcizená nebo odstraněná data, finanční škody, výpadek aplikace nebo nenapravitelné poškození prostředků a dobré pověsti firmy. Tajné hodnoty se bohužel musí často nasadit současně na více míst a změnit je v nevhodnou dobu. A někam je musíte uložit! Podívejte se, jak Může Steve snížit riziko a zlepšit zabezpečení a udržovatelnost aplikace pomocí služby Azure Key Vault.
Cíle výuky
V tomto modulu:
- Prozkoumat, jaké typy informací je možné ukládat ve službě Azure Key Vault
- Vytvořit službu Azure Key Vault a použít ji k uložení hodnot konfigurace tajných klíčů
- Povolení zabezpečeného přístupu ke službě Azure Key Vault z webové aplikace Aplikace Azure Service se spravovanými identitami pro prostředky Azure
- Implementace webové aplikace, která načítá tajné kódy ze služby Azure Key Vault