Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Geheime Azure Key Vault-Schlüssel speichern vertrauliche Anwendungsanmeldeinformationen wie Kennwörter, Verbindungszeichenfolgen und Zugriffstasten. Dieser Artikel enthält Sicherheitsempfehlungen speziell für die Verwaltung geheimer Schlüssel.
Hinweis
Dieser Artikel befasst sich mit Sicherheitspraktiken, die speziell für Key Vault-Secrets gelten. Umfassende Richtlinien zur Sicherheit von Key Vault, einschließlich Netzwerksicherheit, Identitäts- und Zugriffsverwaltung und Tresorarchitektur, finden Sie unter "Sichern Ihres Azure Key Vault".
Was als Geheimnisse gespeichert werden sollte
Geheime Azure Key Vault-Schlüssel dienen zum Speichern von Dienst- oder Anwendungsanmeldeinformationen. Speichern Sie die folgenden Datentypen als geheime Schlüssel:
- Anwendungsanmeldeinformationen: Geheimnisse der Clientanwendung, API-Schlüssel, Anmeldeinformationen des Dienstprinzipals
- Verbindungszeichenfolgen: Datenbankverbindungszeichenfolgen, Verbindungszeichenfolgen für Speicherkonten
- Kennwörter: Dienst-Kennwörter, Anwendungs-Kennwörter
- Zugriffstasten: Redis-Cacheschlüssel, Azure Event Hubs-Schlüssel, Azure Cosmos DB-Schlüssel, Azure Storage-Schlüssel
- SSH-Schlüssel: Private SSH-Schlüssel für den sicheren Shellzugriff
Von Bedeutung
Speichern Sie keine Konfigurationsdaten im Key Vault. IP-Adressen, Dienstnamen, Featurekennzeichnungen und andere Konfigurationseinstellungen sollten in der Azure-App-Konfiguration und nicht im Key Vault gespeichert werden. Key Vault ist für kryptografische Geheimschlüssel und nicht für die allgemeine Konfigurationsverwaltung optimiert.
Weitere Informationen zu Geheimnissen finden Sie unter Geheimnisse von Azure Key Vault.
Geheimes Speicherformat
Befolgen Sie beim Speichern geheimer Schlüssel im Key Vault die folgenden bewährten Formatierungsmethoden:
Speichern Sie zusammengesetzte Anmeldeinformationen ordnungsgemäß: Für Anmeldeinformationen mit mehreren Komponenten (z. B. Benutzername/Kennwort) speichern Sie sie unter:
- Eine ordnungsgemäß formatierte Verbindungszeichenfolge oder
- Ein JSON-Objekt, das die Anmeldeinformationskomponenten enthält
Verwenden Sie Tags für Metadaten: Speichern Sie Verwaltungsinformationen wie Rotationszeitpläne, Ablaufdaten und Besitz in geheimen Tags und nicht im geheimen Wert selbst.
Minimieren Sie die Größe des geheimen Schlüssels: Halten Sie geheime Werte präzise. Große Nutzlasten sollten in Azure Storage mit Verschlüsselung gespeichert werden, wobei ein Key Vault-Schlüssel für die Verschlüsselung und ein Key Vault-Geheimnis für das Speicherzugriffstoken verwendet werden.
Geheimnisrotation
Geheime Schlüssel, die in Anwendungsspeicher- oder Konfigurationsdateien gespeichert sind, bleiben für den gesamten Anwendungslebenszyklus erhalten, wodurch das Risiko der Exposition erhöht wird. Führen Sie regelmäßige Geheimnisrotation durch, um das Risiko einer Kompromittierung zu minimieren.
- Regelmäßige Rotation von Geheimnissen: Mindestens alle 60 Tage oder häufiger bei Hochsicherheits-Szenarien
- Automatisieren der Drehung: Verwenden der Rotationsfunktionen von Azure Key Vault zum Automatisieren des Drehungsprozesses
- Verwenden Sie doppelte Anmeldeinformationen: Implementieren Sie für eine Rotation ohne Ausfallzeiten Ressourcen mit zwei Sets von Anmeldeinformationen.
Weitere Informationen zur Rotation von Geheimnissen finden Sie unter:
- Automatisieren Sie die Geheimnisrotation für Ressourcen mit einem Satz von Authentifizierungsdaten
- Automatisieren Sie die Secret-Rotation für Ressourcen mit zwei Sets von Anmeldeinformationen
Zwischenspeichern von Secrets und Leistung
Key Vault erzwingt Dienstbeschränkungen, um Missbrauch zu verhindern. So optimieren Sie den geheimen Zugriff bei gleichzeitiger Sicherheit:
- Geheimnisse im Arbeitsspeicher zwischenspeichern: Speichern Sie Geheimnisse für mindestens 8 Stunden in Ihrer Anwendung zwischen, um API-Aufrufe des Key Vault zu reduzieren.
- Implementieren Sie eine Wiederholungslogik: Verwenden Sie eine exponentiell abbrechende Wiederholungslogik, um vorübergehende Ausfälle und Drosselungen zu handhaben.
- Aktualisierung bei Rotation: Aktualisieren Sie zwischengespeicherte Werte, wenn Secrets rotiert werden, um sicherzustellen, dass Anwendungen aktuelle Anmeldeinformationen verwenden.
Weitere Informationen zur Drosselung finden Sie unter Azure Key Vault Drosselungsrichtlinien.
Überwachung von Geheimnissen
Aktivieren Sie die Überwachung, um geheime Zugriffsmuster nachzuverfolgen und potenzielle Sicherheitsprobleme zu erkennen:
- Aktivieren Sie die Key Vault-Protokollierung: Protokollieren Sie alle geheimen Zugriffsvorgänge, um nicht autorisierte Zugriffsversuche zu erkennen. Siehe Azure Key Vault-Protokollierung
- Event Grid Benachrichtigungen einrichten: Überwachen Sie Secret-Lebenszyklus-Ereignisse (erstellt, aktualisiert, abgelaufen, kurz vor Ablauf) für automatisierte Workflows. Siehe Azure Key Vault als Ereignisrasterquelle
- Konfigurieren von Warnungen: Richten Sie Azure Monitor-Warnungen für verdächtige Zugriffsmuster oder fehlgeschlagene Authentifizierungsversuche ein. Siehe Überwachung und Warnung für Azure Key Vault
- Regelmäßigen Überprüfen des Zugriffs: Regelmäßig überwachen, wer Zugriff auf geheime Schlüssel hat und unnötige Berechtigungen entfernen
Verwandte Sicherheitsartikel
- Sichern Ihres Azure Key Vault – Umfassender Leitfaden zur Sicherheit von Key Vault
- Sichern Sie Ihre Azure Key Vault-Schlüssel – bewährte Methoden für kryptografische Schlüssel
- Sichern Ihrer Azure Key Vault-Zertifikate – bewährte Methoden für Zertifikate