Seznamte se s osvědčenými postupy služby Azure Key Vault

  • 3 min

Azure Key Vault je nástroj pro bezpečné ukládání tajných kódů a přístup k nim. Tajný kód je vše, co chcete pevně řídit přístup, jako jsou klíče rozhraní API, hesla nebo certifikáty. Trezor je logická skupina tajných kódů.

Autentizace

Pokud chcete se službou Key Vault provádět jakékoli operace, musíte se k němu nejdřív ověřit. Existují tři způsoby ověřování ve službě Key Vault:

  • Spravované identity pro prostředky Azure: Když nasadíte aplikaci na virtuální počítač v Azure, můžete přiřadit identitu k virtuálnímu počítači, který má přístup ke službě Key Vault. Identity můžete také přiřadit k jiným prostředkům Azure. Výhodou tohoto přístupu je, že aplikace nebo služba nespravuje rotaci prvního tajného kódu. Azure automaticky obměňuje klientské tajemství služebního principálu, přidružené k identitě. Tento přístup doporučujeme jako osvědčený postup.

  • Instanční objekt a certifikát: Můžete použít instanční objekt a přidružený certifikát, který má přístup ke službě Key Vault. Tento přístup nedoporučujeme, protože vlastník aplikace nebo vývojář musí certifikát otočit.

  • Instanční objekt a tajný klíč: Ačkoliv můžete použít instanční objekt a tajný klíč k ověření ve službě Key Vault, nedoporučujeme to. Je obtížné automaticky otočit tajný klíč bootstrap, který se používá k ověření ve službě Key Vault.

Šifrování přenášených dat

Azure Key Vault vynucuje protokol TLS (Transport Layer Security) k ochraně dat při přenosu mezi službou Azure Key Vault a klienty. Klienti vyjednávají připojení TLS se službou Azure Key Vault. TLS poskytuje silné ověřování, ochranu osobních údajů a integritu zpráv (umožňující detekci manipulace se zprávami, zachycení a padělání), interoperabilitu, flexibilitu algoritmů a snadné nasazení a použití.

Perfect Forward Secrecy (PFS) chrání propojení mezi klientskými systémy zákazníků a cloudovými službami Microsoftu jedinečnými klíči. Připojení také používají šifrovací klíče o délce 2 048 bitů založené na RSA. Tato kombinace znesnadňuje, aby někdo zachytil a získal přístup k datům, která jsou přenášena.

Osvědčené postupy pro Azure Key Vault

  • Použijte samostatné trezory klíčů: Doporučujeme použít trezor na aplikaci pro každé prostředí (vývoj, předprodukční a produkční). Tento model vám pomůže nesdílet tajné kódy napříč prostředími a také snižuje hrozbu, pokud dojde k narušení zabezpečení.

  • Řízení přístupu k trezoru: Data služby Key Vault jsou citlivá a důležitá pro firmu. Potřebujete zabezpečit přístup k trezorům klíčů tím, že povolíte jenom autorizované aplikace a uživatele.

  • Zálohování: Vytvořte pravidelné zálohy trezoru při aktualizaci, odstranění nebo vytvoření objektů v rámci trezoru.

  • Protokolování: Nezapomeňte zapnout protokolování a upozornění.

  • Možnosti obnovení: Zapněte měkké odstranění a ochranu proti vyprázdnění, pokud chcete chránit před vynuceným odstraněním tajného klíče.