Meilleures pratiques pour l'utilisation d’Azure Key Vault
Azure Key Vault protège les clés et secrets de chiffrement comme les certificats, chaînes de connexion et mots de passe. Cet article vous aide à optimiser votre utilisation des coffres clés.
Utiliser des coffres de clés distincts
Nous recommandons d’utiliser un coffre par application et par environnement (développement, préproduction et production), par région. Cela vous permet de ne pas partager de secrets entre environnements et régions. Cela permet également de réduire la menace en cas de violation.
Pourquoi nous recommandons des coffres de clés distincts
Les coffres de clés définissent les limites de sécurité des secrets stockés. Regrouper les secrets dans un même coffre augmente le rayon d’impact d’un événement de sécurité, car des attaquants pourraient être en mesure d’accéder aux secrets de différents domaines. Pour atténuer les problèmes d’accès, réfléchissez aux secrets auxquels une application spécifique doit avoir accès, puis séparez vos coffres de clés en fonction de cette délimitation. La séparation des coffres de clés par application est la limite la plus courante. Toutefois, les limites de sécurité peuvent être plus granulaires pour des applications de grande taille, par exemple, par groupe de services associés.
Contrôler l’accès à votre coffre
Les clés de chiffrement et les secrets tels que les certificats, les chaînes de connexion et les mots de passe sont sensibles et critiques pour l’entreprise. Vous devez sécuriser l’accès à vos coffres clés en autorisant uniquement les applications et utilisateurs autorisés. Les fonctionnalités de sécurité d’Azure Key Vault donnent une vue d’ensemble du modèle d’accès au coffre de clés. Celle-ci explique l’authentification et l’autorisation. Elle décrit également comment sécuriser l’accès à vos coffres de clés.
Voici des suggestions concernant le contrôle de l’accès à votre coffre :
- Verrouillez l’accès à votre abonnement, à votre groupe de ressources et à vos coffres de clés (contrôle d’accès en fonction du rôle (RBAC)).
- Créez des stratégies d’accès pour chaque coffre
- Suivez le principe de l’accès assorti d’un privilège minimum pour accorder l’accès.
- Activez le pare-feu et les points de terminaison de service de réseau virtuel.
Activer la protection des données pour votre coffre
Activez la protection contre le vidage pour vous prémunir contre la suppression malveillante ou accidentelle des secrets et du coffre de clés, même après activation de la suppression réversible.
Pour plus d’informations, consulter Vue d’ensemble de la suppression réversible d’Azure Key Vault
Activation de la journalisation
Activez la journalisation pour votre coffre. Configurez également des alertes.
Sauvegarde
La protection contre le vidage empêche la suppression malveillante et accidentelle d’objets de coffre pendant jusqu’à 90 jours. Dans les scénarios où la protection contre le vidage n’est pas une option possible, nous vous recommandons de sauvegarder des objets de coffre, qui ne peuvent pas être recréés à partir d’autres sources comme les clés de chiffrement générées dans le coffre.
Pour plus d’informations sur la sauvegarde, consultez Sauvegarde et restauration Azure Key Vault
Solutions multilocataires et Key Vault
Une solution multilocataire repose sur une architecture dans laquelle les composants sont utilisés pour servir plusieurs clients ou locataires. Ce type de solution est souvent exploité pour prendre en charge les solutions SaaS (software as a service). Si vous créez une solution multilocataire qui inclut Key Vault, consultez Architecture multilocataire et Azure Key Vault.
Questions fréquentes (FAQ) :
Puis-je utiliser des affectations d’étendue d’objet de modèle d’autorisation avec contrôle d’accès en fonction du rôle (RBAC) pour garantir l’isolement des équipes d’application au sein de Key Vault ?
Non. Le modèle d’autorisation RBAC permet d’attribuer l’accès à des objets individuels dans Key Vault à l’utilisateur ou à l’application, mais toutes les opérations administratives comme le contrôle d’accès réseau, la surveillance et la gestion des objets nécessitent des autorisations au niveau du coffre, qui exposeront ensuite des informations sécurisées aux opérateurs entre les équipes d’application.
Étapes suivantes
En savoir plus sur les meilleures pratiques de gestion des clés :