Best Practices für die Geheimnisverwaltung in Key Vault
Azure Key Vault ermöglicht es Ihnen, Anmeldeinformationen für Dienste oder Apps, wie zum Beispiel Kennwörter und Zugriffsschlüssel, sicher als Geheimnisse zu speichern. Alle Geheimnisse in Ihrer Key Vault-Instanz werden mit einem Softwareschlüssel verschlüsselt. Wenn Sie Key Vault verwenden, müssen Sie keine Sicherheitsinformationen mehr in Ihren Apps speichern. Wenn Sicherheitsinformationen nicht mehr in Anwendungen gespeichert werden müssen, entfällt die Notwendigkeit, diese Informationen in den Code einzubinden.
Beispiele für Geheimnisse, die in Key Vault gespeichert werden sollen:
- Geheimnisse der Clientanwendung
- Verbindungszeichenfolgen
- Kennwörter
- Zugriffsschlüssel (Redis Cache, Azure Event Hubs, Azure Cosmos DB)
- SSH-Schlüssel
Alle anderen vertraulichen Informationen, wie zum Beispiel IP-Adressen, Namen von Diensten und andere Konfigurationseinstellungen, sollten in Azure App Configuration anstatt in Key Vault gespeichert werden.
Jede einzelne Key Vault-Instanz definiert eine Sicherheitsbegrenzung für Geheimnisse. Für eine einzelne Key Vault-Instanz pro App, pro Region und pro Umgebung wird empfohlen, eine präzise Isolation von Geheimnissen für eine App bereitzustellen.
Weitere Informationen zu bewährten Methoden in Key Vault finden Sie unter: Bewährte Methoden in Key Vault.
Konfiguration und Speicherung
Store anmeldeinformationen, die für den Zugriff auf die Datenbank oder den Dienst im Geheimniswert erforderlich sind. Bei zusammengesetzten Anmeldeinformationen wie Benutzername/Kennwort können sie als Verbindungszeichenfolge oder JSON-Objekt gespeichert werden. Andere informationen, die für die Verwaltung erforderlich sind, sollten in Tags gespeichert werden, d. h. in der Rotationskonfiguration.
Weitere Informationen zu Geheimnissen finden Sie unter Informationen zu Azure Key Vault-Geheimnissen.
Geheimnisrotation
Geheimnisse werden oft im App-Speicher als Umgebungsvariablen oder Konfigurationseinstellungen für den gesamten App-Lebenszyklus gespeichert, wodurch sie anfällig für unerwünschte Offenlegung werden. Da Geheimnisse anfällig für Datenlecks oder Offenlegung sind, müssen sie häufig rotiert werden, und zwar mindestens alle 60 Tage.
Weitere Informationen zum Geheimnisrotationsprozess finden Sie unter Automatisieren der Rotation eines Geheimnisses für Ressourcen mit zwei Sätzen von Anmeldeinformationen zur Authentifizierung.
Zugriffs- und Netzwerkisolation
Sie können die Angriffsfläche Ihrer Tresore reduzieren, indem Sie angeben, welche IP-Adressen Zugriff darauf haben. Konfigurieren Sie die Firewall, sodass nur Apps und zugehörige Dienste auf Geheimnisse im Tresor zugreifen können. So verringern Sie die Wahrscheinlichkeit, dass Angreifer auf Geheimnisse zugreifen können.
Weitere Informationen zur Netzwerksicherheit finden Sie unter Konfigurieren von Azure Key Vault-Netzwerkeinstellungen.
Darüber hinaus sollten Anwendungen die geringsten Zugriffsrechte erhalten, d. h. nur Lesezugriff auf Geheimnisse. Der Zugriff auf Geheimnisse kann entweder durch Zugriffsrichtlinien oder mit der rollenbasierten Zugriffssteuerung von Azure geregelt werden.
Weitere Informationen zur Zugriffssteuerung in Azure Key Vault finden Sie unter:
- Gewähren des Zugriffs auf Key Vault-Schlüssel, -Zertifikate und -Geheimnisse mit der rollenbasierten Zugriffssteuerung von Azure
- Zuweisen einer Key Vault-Zugriffsrichtlinie
Diensteinschränkungen und Zwischenspeichern
Key Vault wurde ursprünglich mit den unter Grenzwerte des Azure Key Vault-Diensts angegebenen einschränkenden Grenzwerten erstellt. Um Ihre Durchsatzraten zu maximieren, werden diese beiden bewährten Methoden empfohlen:
- Speichern Sie Geheimnisse in Ihrer App mindestens acht Stunden lang zwischen.
- Implementieren Sie eine exponentielle Backoff-Wiederholungslogik, um Szenarios zu verarbeiten, bei denen Grenzwerte von Diensten überschritten werden.
Weitere Informationen zur Einschränkungsunterstützung finden Sie unter Einschränkungsunterstützung für Azure Key Vault.
Überwachung
Aktivieren Sie die Protokollierung für Ihre Key Vault-Instanz, um den Zugriff auf Ihre Geheimnisse und deren Lebenszyklus zu überwachen. Verwenden Sie Azure Monitor, um alle Geheimnisaktivitäten in allen Tresoren an einem Ort zu überwachen. Verwenden Sie alternativ Azure Event Grid, um den Lebenszyklus von Geheimnissen zu überwachen, da diese Instanz über eine einfache Integration in Azure Logic Apps und Azure Functions verfügt.
Weitere Informationen finden Sie unter
- Azure Key Vault als Event Grid-Quelle
- Azure Key Vault-Protokollierung
- Überwachung und Warnungen für Azure Key Vault
Sicherung und Löschschutz
Aktivieren Sie den Löschschutz, um sich gegen böswilliges oder versehentliches Löschen der Geheimnisse zu schützen. In Szenarien, in denen ein Bereinigungsschutz nicht möglich ist, empfehlen wir eine Sicherung von Geheimnissen, die nicht aus anderen Quellen wiederhergestellt werden können.