Meilleures pratiques pour l'utilisation d’Azure Key Vault

Azure Key Vault protège les clés et secrets de chiffrement comme les certificats, chaînes de connexion et mots de passe. Cet article vous aide à optimiser votre utilisation des coffres clés.

Utiliser des coffres de clés distincts

Nous recommandons d’utiliser un coffre par application et par environnement (développement, préproduction et production), par région. L’isolation granulaire vous aide à ne pas partager de secrets entre les applications, les environnements et les régions, et réduit également la menace en cas de violation.

Pourquoi nous recommandons des coffres de clés distincts

Les coffres de clés définissent les limites de sécurité des secrets stockés. Regrouper les secrets dans un même coffre augmente le rayon d’impact d’un événement de sécurité, car des attaquants pourraient être en mesure d’accéder aux secrets de différents domaines. Pour atténuer les problèmes d’accès, réfléchissez aux secrets auxquels une application spécifique doit avoir accès, puis séparez vos coffres de clés en fonction de cette délimitation. La séparation des coffres de clés par application est la limite la plus courante. Toutefois, les limites de sécurité peuvent être plus granulaires pour des applications de grande taille, par exemple, par groupe de services associés.

Contrôler l’accès à votre coffre

Les clés de chiffrement et les secrets tels que les certificats, les chaînes de connexion et les mots de passe sont sensibles et critiques pour l’entreprise. Vous devez sécuriser l’accès à vos coffres clés en autorisant uniquement les applications et utilisateurs autorisés. Les fonctionnalités de sécurité d’Azure Key Vault donnent une vue d’ensemble du modèle d’accès au coffre de clés. Celle-ci explique l’authentification et l’autorisation. Elle décrit également comment sécuriser l’accès à vos coffres de clés.

Les recommandations pour contrôler l'accès à votre chambre forte sont les suivantes :

• Verrouillez l’accès à votre abonnement, à votre groupe de ressources et à vos coffres de clés (en utilisant le contrôle d’accès en fonction du rôle (RBAC)).
• Attribuer des rôles RBAC à l’étendue Key Vault pour les applications, les services et les charges de travail nécessitant un accès persistant à Key Vault
• Attribuer des rôles RBAC éligibles juste-à-temps pour les opérateurs, les administrateurs et d’autres comptes d’utilisateur nécessitant un accès privilégié à Key Vault à l’aide de Privileged Identity Management (PIM)
  • Exiger au moins un approbateur
  • Application de l’authentification multifacteur via Azure Multi-Factor Authentication
• Restreindre l’accès réseau à l’aide de Private Link, de pare-feu et de réseaux virtuels

Activer la protection des données pour votre coffre

Activez la protection contre le vidage pour vous prémunir contre la suppression malveillante ou accidentelle des secrets et du coffre de clés, même après activation de la suppression réversible.

Pour plus d’informations, consulter Vue d’ensemble de la suppression réversible d’Azure Key Vault

Activation de la journalisation

Activez la journalisation pour votre coffre. Configurez également des alertes.

Sauvegarde

La protection contre le vidage empêche la suppression malveillante et accidentelle d’objets de coffre pendant jusqu’à 90 jours. Dans les scénarios où la protection contre le vidage n’est pas une option possible, nous vous recommandons de sauvegarder des objets de coffre, qui ne peuvent pas être recréés à partir d’autres sources comme les clés de chiffrement générées dans le coffre.

Pour plus d’informations sur la sauvegarde, consultez Sauvegarde et restauration Azure Key Vault

Solutions multilocataires et Key Vault

Une solution multilocataire repose sur une architecture dans laquelle les composants sont utilisés pour servir plusieurs clients ou locataires. Ce type de solution est souvent exploité pour prendre en charge les solutions SaaS (software as a service). Si vous créez une solution multilocataire qui inclut Key Vault, consultez Architecture multilocataire et Azure Key Vault.

Questions fréquentes (FAQ) :

Puis-je utiliser des affectations d’étendue d’objet de modèle d’autorisation avec contrôle d’accès en fonction du rôle (RBAC) pour garantir l’isolement des équipes d’application au sein de Key Vault ?

Non. Le modèle d’autorisation RBAC permet d’attribuer l’accès à des objets individuels dans Key Vault à l’utilisateur ou à l’application, mais uniquement pour la lecture. Toutes les opérations administratives telles que le contrôle d’accès réseau, la surveillance et la gestion des objets nécessitent des autorisations au niveau du coffre. Le fait d’avoir une Key Vault par application fournit une isolation sécurisée pour les opérateurs entre les équipes d’application.

Étapes suivantes

En savoir plus sur les meilleures pratiques de gestion des clés :

• Meilleures pratiques de gestion des secrets dans Key Vault
• Bonnes pratiques pour Azure Managed HSM