Partager via


Meilleures pratiques pour l’utilisation d’Azure Key Vault

Azure Key Vault protège les clés de chiffrement et les secrets tels que les certificats, les chaînes de connexion et les mots de passe. Cet article vous aide à optimiser votre utilisation des coffres clés.

Utiliser des coffres de clés distincts

Notre recommandation est d’utiliser un coffre par application par environnement (développement, préproduction et production), par région. L’isolation granulaire vous permet de ne pas partager les secrets entre les applications, les environnements et les régions, et de réduire également la menace en cas de violation.

Pourquoi nous recommandons des coffres de clés distincts

Les coffres de clés définissent les limites de sécurité des secrets stockés. Regrouper les secrets dans un même coffre augmente le rayon d’impact d’un événement de sécurité, car des attaquants pourraient être en mesure d’accéder aux secrets de différents domaines. Pour atténuer les problèmes d’accès, réfléchissez aux secrets auxquels une application spécifique doit avoir accès, puis séparez vos coffres de clés en fonction de cette délimitation. La séparation des coffres de clés par application est la limite la plus courante. Toutefois, les limites de sécurité peuvent être plus granulaires pour des applications de grande taille, par exemple, par groupe de services associés.

Contrôler l’accès à votre coffre

Les clés de chiffrement et les secrets tels que les certificats, les chaînes de connexion et les mots de passe sont sensibles et critiques pour l’entreprise. Vous devez sécuriser l’accès à vos coffres de clés en autorisant uniquement les applications et utilisateurs autorisés. Les fonctionnalités de sécurité Azure Key Vault fournissent une vue d’ensemble du modèle d’accès Key Vault. Il explique l’authentification et l’autorisation. Il décrit également comment sécuriser l’accès à vos coffres de clés.

Les recommandations pour contrôler l'accès à votre chambre forte sont les suivantes :

  • Verrouillez l’accès à votre abonnement, à votre groupe de ressources et à vos coffres de clés en utilisant le modèle d’autorisation de contrôle d’accès en fonction du rôle (RBAC) pour le plan de données.
    • Attribuer des rôles RBAC dans l’étendue Key Vault pour les applications, les services et les charges de travail nécessitant un accès persistant à Key Vault
    • Attribuez des rôles RBAC éligibles juste-à-temps pour les opérateurs, les administrateurs et d’autres comptes d’utilisateur nécessitant un accès privilégié à Key Vault à l’aide de Privileged Identity Management (PIM)
      • Exiger au moins un approbateur
      • Appliquer l’authentification multifacteur
  • Restreindre l’accès réseau avec Private Link, pare-feu et réseaux virtuels

Important

Le modèle d’autorisation des stratégies d’accès hérités présente des vulnérabilités de sécurité connues et ne prend pas en charge Priviliged Identity Management et ne doit pas être utilisé pour les données et charges de travail critiques.

Activer la protection des données pour votre coffre

Activez la protection contre le vidage pour vous prémunir contre la suppression malveillante ou accidentelle des secrets et du coffre de clés, même après activation de la suppression réversible.

Pour plus d’informations, consultez Vue d’ensemble de la suppression douce d’Azure Key Vault.

Activation de la journalisation

Activez la journalisation pour votre coffre. En outre, configurez des alertes.

Backup (Sauvegarder)

La protection contre le vidage empêche la suppression malveillante et accidentelle d’objets de coffre pendant jusqu’à 90 jours. Dans les scénarios où la protection contre le vidage n’est pas une option possible, nous vous recommandons de sauvegarder des objets de coffre, qui ne peuvent pas être recréés à partir d’autres sources comme les clés de chiffrement générées dans le coffre.

Pour plus d’informations sur la sauvegarde, consultez sauvegarde et restauration d’Azure Key Vault.

Solutions multilocataires et Key Vault

Une solution mutualisée repose sur une architecture où les composants sont utilisés pour servir plusieurs clients ou locataires. Les solutions multilocataires sont souvent utilisées pour prendre en charge les solutions SaaS (Software as a Service). Si vous créez une solution multilocataire qui inclut Key Vault, il est recommandé d'utiliser un coffre de clés par client pour assurer l'isolation des données et charges de travail des clients, consultez Multilocataire et Azure Key Vault.

Questions fréquentes (FAQ) :

Puis-je utiliser des affectations d’étendue d’objet de modèle d’autorisation avec contrôle d’accès en fonction du rôle (RBAC) pour garantir l’isolement des équipes d’application au sein de Key Vault ?

Non. Le modèle d’autorisation RBAC permet d’attribuer l’accès à des objets individuels dans Key Vault à l’utilisateur ou à l’application, mais uniquement pour la lecture. Toutes les opérations administratives telles que le contrôle d’accès réseau, la surveillance et la gestion des objets nécessitent des autorisations au niveau du coffre. La présence d’un coffre de clés par application offre une isolation sécurisée pour les opérateurs entre les équipes d’application.

Étapes suivantes

En savoir plus sur les meilleures pratiques de gestion des clés :