Bewährte Methoden für die Verwendung von Azure Key Vault
Der Azure Key Vault-Clouddienst schützt Verschlüsselungsschlüssel und Geheimnisse (wie Zertifikate, Verbindungszeichenfolgen und Kennwörter). Dieser Artikel hilft Ihnen, die Verwendung von Schlüsseltresoren zu optimieren.
Verwenden separater Key Vault-Instanzen
Es wird empfohlen, einen Tresor pro Anwendung, Umgebung (Entwicklung, Präproduktion und Produktion) und Region zu verwenden. Die granulare Isolation hilft Ihnen, Geheimnisse nicht über Anwendungen, Umgebungen und Regionen hinweg zu teilen, und sie verringert auch die Bedrohung im Fall einer Sicherheitsverletzung.
Warum wir separate Schlüsseltresore empfehlen
Schlüsseltresor definieren Sicherheitsgrenzen für gespeicherte Geheimnisse. Die Gruppierung von Geheimnissen im selben Tresor erweitert den Ausbreitungsradius eines Sicherheitsereignisses, da Angreifer in der Lage sein könnten, übergreifend auf Geheimnisse zuzugreifen. Um Bedenken hinsichtlich des Zugangs zu entschärfen, sollten Sie überlegen, auf welche Geheimnisse eine bestimmte Anwendung Zugriff besitzen sollte, und dann Ihre Schlüsseltresore auf der Grundlage dieser Abgrenzung trennen. Die Trennung der Tresore nach Anwendungen ist die gebräuchlichste Abgrenzung. Sicherheitsgrenzen können jedoch bei großen Anwendungen, z. B. pro Gruppe verwandter Dienste, genauer sein.
Steuerung des Zugriffs auf Ihren Tresor
Verschlüsselungsschlüssel und vertrauliche Daten wie Zertifikate, Verbindungszeichenfolgen und Kennwörter sind vertraulich und unternehmenskritisch. Sie müssen den Zugriff auf Ihre wichtigsten Tresore sichern, indem Sie nur autorisierte Anwendungen und Benutzer zulassen. Die Sicherheitsfeatures von Azure Key Vault bieten eine Übersicht über das Zugriffsmodell für den Schlüsseltresor. Dies erklärt die Authentifizierung und Autorisierung. Außerdem wird beschrieben, wie Sie den Zugriff auf Ihre wichtigsten Tresore sichern können.
Empfehlungen für die Zugriffssteuerung auf Ihren Schlüsseltresor:
- Sperren Sie den Zugriff auf Ihr Abonnement, Ihre Ressourcengruppe und Ihre Schlüsseltresore mithilfe des Berechtigungsmodells mit rollenbasierter Zugriffssteuerung (RBAC) für die Datenebene.
- Zuweisen von RBAC-Rollen im Key Vault-Bereich für Anwendungen, Dienste und Workloads, die dauerhaften Zugriff auf Key Vault benötigen
- Zuweisen von JIT-berechtigten (Just-in-Time) RBAC-Rollen für Operator*innen, Administrator*innen und andere Benutzerkonten, die privilegierten Zugriff auf Key Vault mit Privileged Identity Management (PIM) benötigen
- Erfordern mindestens einer genehmigenden Person
- Erzwingen der Multi-Factor Authentication
- Einschränken des Netzwerkzugriffs mit Private Link, Firewall und virtuellen Netzwerken
Wichtig
Das Legacy-Berechtigungsmodell für Zugriffsrichtlinien weist bekannte Sicherheitslücken auf, bietet keine Unterstützung für privilegiertes Identitätsmanagement und sollte nicht für kritische Daten und Workloads verwendet werden.
Datenschutz für Ihren Tresor aktivieren
Aktivieren Sie den Löschschutz, um vor böswilligen oder versehentlichen Löschungen des Geheimnisses und Schlüsseltresors zu schützen, auch wenn die Soft-Delete-Option aktiviert ist.
Weitere Informationen finden Sie unter Übersicht über die Azure Key Vault-Funktion für vorläufiges Löschen.
Aktivieren Sie die Protokollierung.
Aktivieren Sie die Protokollierung für Ihren Schlüsseltresor. Richten sie auch Warnungen ein.
Backup
Der Löschschutz verhindert böswillige und versehentliche Löschung von Tresorobjekten für bis zu 90 Tage. In Szenarien, in denen der Schutz vor Löschung nicht möglich ist, werden Sicherungstresorobjekte empfohlen, die nicht aus anderen Quellen wie Verschlüsselungsschlüsseln neu erstellt werden können, die im Tresor generiert werden.
Weitere Informationen zur Sicherung finden Sie unter Azure Key Vault – Sicherung und Wiederherstellung.
Mehrinstanzenfähig Lösungen und Key Vault
Eine Lösung für mehrere Mandanten basiert auf einer Architektur, in der Komponenten verwendet werden, um mehrere Kunden oder Mandanten zu bedienen. Lösungen für mehrere Mandanten werden häufig verwendet, um SaaS-Lösungen (Software as a Service) zu unterstützen. Wenn Sie eine mehrinstanzenfähige Lösung erstellen, die Key Vault umfasst, empfiehlt es sich, einen Key Vault pro Kunde zu verwenden, um eine Isolierung der Kundendaten und -workloads zu gewährleisten. Weitere Informationen finden Sie unter Multitenancy und Azure Key Vault.
Häufig gestellte Fragen:
Kann ich Objekt-Bereichszuweisungen des Berechtigungsmodells rollenbasierte Zugriffssteuerung (RBAC) von Key Vault verwenden, um Isolation für Anwendungsteams innerhalb von Key Vault bereitzustellen?
Nein Das RBAC-Berechtigungsmodell ermöglicht das Zuweisen des Zugriffs auf einzelne Objekte in Key Vault zu einzelnen Benutzer*innen oder Anwendungen, jedoch nur zum Lesen. Alle administrativen Vorgänge wie Netzwerkzugriffssteuerung, Überwachung und Objektverwaltung erfordern Berechtigungen auf Tresorebene. Eine Key Vault-Instanz pro Anwendung ermöglicht eine sichere Isolation für Operator*innen in allen Anwendungsteams.
Nächste Schritte
Erfahren Sie mehr über bewährte Methoden für die Schlüsselverwaltung: