Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit Azure Key Vault können Sie Dienst- oder Anwendungsanmeldeinformationen wie Kennwörter und Zugriffstasten sicher als geheime Schlüssel speichern. Alle Geheimnisse in Ihrer Key Vault-Instanz werden mit einem Softwareschlüssel verschlüsselt. Wenn Sie Key Vault verwenden, müssen Sie keine Sicherheitsinformationen mehr in Ihren Anwendungen speichern. Wenn Sie keine Sicherheitsinformationen in Anwendungen speichern müssen, ist es nicht erforderlich, diese Informationen teil des Codes zu machen.
Beispiele für geheime Schlüssel, die im Key Vault gespeichert werden sollten:
- Geheimnisse der Clientanwendung
- Verbindungszeichenfolgen
- Kennwörter
- Zugriffsschlüssel (Redis Cache, Azure Event Hubs, Azure Cosmos DB)
- SSH-Schlüssel
Alle anderen vertraulichen Informationen, z. B. IP-Adressen, Dienstnamen und andere Konfigurationseinstellungen, sollten in der Azure-App-Konfiguration und nicht im Key Vault gespeichert werden.
Jede einzelne Key Vault-Instanz definiert eine Sicherheitsbegrenzung für Geheimnisse. Für eine einzelne Key Vault-Instanz pro App, pro Region und pro Umgebung wird empfohlen, eine präzise Isolation von Geheimnissen für eine App bereitzustellen.
Weitere Informationen zu bewährten Methoden für Key Vault finden Sie unter Bewährte Methoden für die Verwendung von Key Vault.
Konfiguration und Speicherung
Speichern Sie Anmeldeinformationen, die für den Zugriff auf eine Datenbank oder einen Service benötigt werden, als geheimen Wert. Bei zusammengesetzten Anmeldeinformationen wie Benutzername/Kennwort kann sie als Verbindungszeichenfolge oder JSON-Objekt gespeichert werden. Weitere Informationen, die für das Management benötigt werden, sollten in Tags gespeichert werden, d. h. in den Rotationseinstellungen.
Weitere Informationen über Geheimnisse finden Sie unter Azure Key Vault Secrets.
Geheimnisrotation
Geheime Schlüssel werden häufig im Anwendungsspeicher als Umgebungsvariablen oder Konfigurationseinstellungen für den gesamten Anwendungslebenszyklus gespeichert, wodurch sie für unerwünschte Gefährdungen sensibel sind. Da Geheimnisse anfällig für Lecks oder Offenlegung sind, ist es wichtig, sie häufig zu wechseln, mindestens alle 60 Tage.
Weitere Informationen zum Rotationsprozess für geheime Informationen finden Sie unter Automatisieren der Rotation eines geheimen Geheimnisses für Ressourcen mit zwei Sätzen von Authentifizierungsdaten.
Zugriff und Netzwerkisolation
Sie können die Angriffsfläche Ihrer Tresore reduzieren, indem Sie angeben, welche IP-Adressen Zugriff darauf haben. Konfigurieren Sie Ihre Firewall so, dass nur Anwendungen und verwandte Dienste auf Geheimnisse im Tresor zugreifen können, um die Fähigkeit von Angreifern, auf Geheimnisse zuzugreifen, zu verringern.
Weitere Informationen zur Netzwerksicherheit finden Sie unter Konfigurieren von Azure Key Vault-Netzwerkeinstellungen.
Darüber hinaus sollten Anwendungen dem Prinzip des geringsten privilegierten Zugriffs folgen, indem sie nur Zugriff auf das Lesen von Geheimnissen haben. Der Zugriff auf geheime Schlüssel kann entweder mit Zugriffsrichtlinien oder mit der rollenbasierten Zugriffssteuerung von Azure gesteuert werden.
Weitere Informationen zur Zugriffssteuerung in Azure Key Vault finden Sie unter:
- Gewähren Sie Zugriff auf Key Vault-Schlüssel, Zertifikate und Geheimnisse mit der rollenbasierten Zugriffssteuerung von Azure
- Zuweisen einer Key Vault-Zugriffsrichtlinie
Dienstbeschränkungen und Zwischenspeicherung
Der Key Vault wurde ursprünglich mit Einschränkungsgrenzwerten erstellt, die in Den Azure Key Vault-Dienstgrenzwerten angegeben sind. Um Die Durchsatzraten zu maximieren, werden hier zwei bewährte Methoden empfohlen:
- Zwischenspeichern von geheimen Schlüsseln in Ihrer Anwendung für mindestens acht Stunden.
- Implementieren Sie exponentielle Back-Off-Wiederholungslogik, um Szenarien zu behandeln, wenn Dienstgrenzwerte überschritten werden.
Weitere Informationen zur Einschränkungsunterstützung finden Sie unter Einschränkungsunterstützung für Azure Key Vault.
Überwachung
Um den Zugriff auf Ihre geheimen Schlüssel und ihren Lebenszyklus zu überwachen, aktivieren Sie die Key Vault-Protokollierung. Verwenden Sie Azure Monitor , um alle geheimen Aktivitäten in allen Ihren Tresoren an einem zentralen Ort zu überwachen. Oder verwenden Sie Azure Event Grid , um den Lebenszyklus geheimer Schlüssel zu überwachen, da sie eine einfache Integration in Azure Logic Apps und Azure Functions hat.
Weitere Informationen finden Sie unter:
- Azure Key Vault als Ereignisrasterquelle
- Azure Key Vault-Protokollierung
- Überwachung und Warnung für Azure Key Vault
Datensicherung und Löschschutz
Aktivieren Sie den Löschschutz , um vor böswilligen oder versehentlichen Löschungen der geheimen Schlüssel zu schützen. In Szenarien, in denen der Löschschutz keine mögliche Option ist, empfehlen wir Sicherungsschlüssel , die nicht aus anderen Quellen neu erstellt werden können.