Bewährte Methoden für die Verwendung von Azure Key Vault

  • Artikel

Der Azure Key Vault-Clouddienst schützt Verschlüsselungsschlüssel und Geheimnisse (wie Zertifikate, Verbindungszeichenfolgen und Kennwörter). Dieser Artikel hilft Ihnen, die Verwendung von Schlüsseltresoren zu optimieren.

Verwenden separater Key Vault-Instanzen

Es wird empfohlen, einen Schlüsseltresor pro Anwendung und Umgebung (Entwicklung, Präproduktion und Produktion) pro Region zu verwenden. Die granulare Isolation hilft Ihnen, Geheimnisse nicht über Anwendungen, Umgebungen und Regionen hinweg zu teilen, und sie verringert auch die Bedrohung im Fall einer Sicherheitsverletzung.

Warum wir separate Schlüsseltresore empfehlen

Schlüsseltresor definieren Sicherheitsgrenzen für gespeicherte Geheimnisse. Die Gruppierung von Geheimnissen im selben Tresor erweitert den Ausbreitungsradius eines Sicherheitsereignisses, da Angreifer in der Lage sein könnten, übergreifend auf Geheimnisse zuzugreifen. Um Bedenken hinsichtlich des Zugangs zu entschärfen, sollten Sie überlegen, auf welche Geheimnisse eine bestimmte Anwendung Zugriff besitzen sollte, und dann Ihre Schlüsseltresore auf der Grundlage dieser Abgrenzung trennen. Die Trennung der Tresore nach Anwendungen ist die gebräuchlichste Abgrenzung. Sicherheitsgrenzen können jedoch bei großen Anwendungen, z. B. pro Gruppe verwandter Dienste, genauer sein.

Steuern des Zugriffs auf Ihren Schlüsseltresor

Verschlüsselungsschlüssel und vertrauliche Daten wie Zertifikate, Verbindungszeichenfolgen und Kennwörter sind vertraulich und unternehmenskritisch. Sie müssen den Zugriff auf Ihre wichtigsten Tresore sichern, indem Sie nur autorisierte Anwendungen und Benutzer zulassen. Die Sicherheitsfeatures von Azure Key Vault bieten eine Übersicht über das Zugriffsmodell für den Schlüsseltresor. Dies erklärt die Authentifizierung und Autorisierung. Außerdem wird beschrieben, wie Sie den Zugriff auf Ihre wichtigsten Tresore sichern können.

Empfehlungen für die Zugriffssteuerung auf Ihren Schlüsseltresor:

  • Sperren Sie den Zugriff auf Ihr Abonnement, Ihre Ressourcengruppe und Ihre Schlüsseltresore mithilfe der rollenbasierten Zugriffssteuerung (RBAC).
  • Zuweisen von RBAC-Rollen im Key Vault-Bereich für Anwendungen, Dienste und Workloads, die dauerhaften Zugriff auf Key Vault benötigen
  • Zuweisen von JIT-berechtigten (Just-in-Time) RBAC-Rollen für Operator*innen, Administrator*innen und andere Benutzerkonten, die privilegierten Zugriff auf Key Vault mit Privileged Identity Management (PIM) benötigen
    • Erfordern mindestens einer genehmigenden Person
    • Erzwingen der Multi-Factor Authentication
  • Einschränken des Netzwerkzugriffs mit Private Link, Firewall und virtuellen Netzwerken

Aktivieren des Datenschutzes für Ihren Tresor

Aktivieren Sie den Löschschutz, um vor böswilligen oder versehentlichen Löschungen des Geheimnisses und Schlüsseltresors zu schützen, auch wenn die Soft-Delete-Option aktiviert ist.

Weitere Informationen finden Sie unter Übersicht über die Azure Key Vault-Funktion für vorläufiges Löschen.

Aktivieren Sie die Protokollierung.

Aktivieren Sie die Protokollierung für Ihren Schlüsseltresor. Richten sie auch Warnungen ein.

Backup

Der Löschschutz verhindert böswillige und versehentliche Löschung von Tresorobjekten für bis zu 90 Tage. In Szenarien, in denen der Schutz vor Löschung nicht möglich ist, werden Sicherungstresorobjekte empfohlen, die nicht aus anderen Quellen wie Verschlüsselungsschlüsseln neu erstellt werden können, die im Tresor generiert werden.

Weitere Informationen zur Sicherung finden Sie unter Azure Key Vault – Sicherung und Wiederherstellung

Lösungen für mehrere Mandanten und Key Vault

Eine Lösung für mehrere Mandanten basiert auf einer Architektur, in der Komponenten verwendet werden, um mehrere Kunden oder Mandanten zu bedienen. Lösungen für mehrere Mandanten werden häufig verwendet, um SaaS-Lösungen (Software as a Service) zu unterstützen. Wenn Sie eine Lösung für mehrere Mandanten erstellen, die Key Vault beinhaltet, lesen Sie die Informationen unter Mehrinstanzenfähigkeit und Azure Key Vault.

Häufig gestellte Fragen:

Kann ich Objekt-Bereichszuweisungen des Berechtigungsmodells rollenbasierte Zugriffssteuerung (RBAC) von Key Vault verwenden, um Isolation für Anwendungsteams innerhalb von Key Vault bereitzustellen?

Nein. Das RBAC-Berechtigungsmodell ermöglicht das Zuweisen des Zugriffs auf einzelne Objekte in Key Vault zu einzelnen Benutzer*innen oder Anwendungen, jedoch nur zum Lesen. Alle administrativen Vorgänge wie Netzwerkzugriffssteuerung, Überwachung und Objektverwaltung erfordern Berechtigungen auf Tresorebene. Eine Key Vault-Instanz pro Anwendung ermöglicht eine sichere Isolation für Operator*innen in allen Anwendungsteams.

Nächste Schritte

Erfahren Sie mehr über bewährte Methoden für die Schlüsselverwaltung: