Ajánlott eljárások az Azure Key Vault használatához
Az Azure Key Vault védi a titkosítási kulcsokat és titkos kulcsokat, például a tanúsítványokat, kapcsolati sztring és jelszavakat. Ez a cikk segít optimalizálni a kulcstartók használatát.
Különálló kulcstartók használata
Javasoljuk, hogy egy tárolót használjon alkalmazásonként (fejlesztés, gyártás előtti és éles környezet) régiónként. A részletes elkülönítés segít abban, hogy ne ossza meg a titkos kulcsokat az alkalmazások, környezetek és régiók között, és csökkenti a fenyegetést, ha fennáll a biztonsági rés.
Miért javasoljuk a kulcstartók elkülönítését?
A kulcstartók biztonsági határokat határoznak meg a tárolt titkos kódokhoz. A titkos kulcsok ugyanabba a tárolóba való csoportosítása növeli a biztonsági események robbanási sugarát , mert a támadások több szempontból is hozzáférhetnek a titkos kódokhoz. A problémák közötti hozzáférés csökkentése érdekében fontolja meg, hogy egy adott alkalmazás milyen titkos kulcsokhoz férhet hozzá, majd válassza el a kulcstartókat ennek a lehatárolásnak megfelelően. A kulcstartók alkalmazás szerinti elkülönítése a leggyakoribb határ. A biztonsági határok azonban részletesebbek lehetnek a nagy alkalmazások esetében, például a kapcsolódó szolgáltatások csoportjában.
A tárolóhoz való hozzáférés szabályozása
A titkosítási kulcsok és titkos kódok, például a tanúsítványok, a kapcsolati sztring és a jelszavak bizalmasak és üzleti szempontból kritikus fontosságúak. A kulcstartókhoz való hozzáférést úgy kell biztonságossá tenni, hogy csak az engedélyezett alkalmazásokat és felhasználókat engedélyezi. Az Azure Key Vault biztonsági funkciói áttekintést nyújtanak a Key Vault hozzáférési modelljéről. Ismerteti a hitelesítést és az engedélyezést. Azt is ismerteti, hogyan lehet biztonságossá tenni a kulcstartókhoz való hozzáférést.
Javaslatok a tárolóhoz való hozzáférés szabályozásához az alábbiakat kell követnie:
- Az adatsík szerepköralapú hozzáférés-vezérlési (RBAC) engedélymodelljének használatával zárolhatja az előfizetéshez, az erőforráscsoporthoz és a kulcstartóhoz való hozzáférést.
- RBAC-szerepkörök hozzárendelése a Key Vault hatóköréhez olyan alkalmazásokhoz, szolgáltatásokhoz és számítási feladatokhoz, amelyek állandó hozzáférést igényelnek a Key Vaulthoz
- Igény szerinti jogosult RBAC-szerepkörök hozzárendelése olyan operátorokhoz, rendszergazdákhoz és egyéb felhasználói fiókokhoz, amelyek emelt szintű hozzáférést igényelnek a Key Vaulthoz a Privileged Identity Management (PIM) használatával
- Legalább egy jóváhagyó megkövetelése
- Többtényezős hitelesítés kényszerítése
- Hálózati hozzáférés korlátozása privát kapcsolattal, tűzfallal és virtuális hálózatokkal
Fontos
Az örökölt hozzáférési szabályzatok engedélymodellje ismert biztonsági résekkel és a Priviliged Identity Management támogatásának hiányával rendelkezik, és nem használható kritikus fontosságú adatokhoz és számítási feladatokhoz.
A tároló adatvédelmi funkciójának bekapcsolása
Kapcsolja be a törlés elleni védelmet a titkos kódok és kulcstartók rosszindulatú vagy véletlen törlésének ellen, még akkor is, ha a helyreállítható törlés be van kapcsolva.
További információt az Azure Key Vault helyreállítható törlési áttekintésében talál.
Kapcsolja be a naplózást
Kapcsolja be a tároló naplózását . Emellett riasztásokat is beállíthat.
Backup
A törlés elleni védelem legfeljebb 90 napig megakadályozza a tárolóobjektumok rosszindulatú és véletlen törlését. Olyan esetekben, amikor a törlés elleni védelem nem lehetséges, javasoljuk, hogy készítsen biztonsági mentési tárolóobjektumokat, amelyek nem hozhatók létre más forrásokból, például a tárolóban létrehozott titkosítási kulcsokból.
A biztonsági mentésről további információt az Azure Key Vault biztonsági mentéséről és visszaállításáról talál.
Több-bérlős megoldások és Key Vault
A több-bérlős megoldások olyan architektúrára épülnek, amelyben az összetevőket több ügyfél vagy bérlő kiszolgálására használják. A több-bérlős megoldásokat gyakran használják a szolgáltatott szoftverek (SaaS) megoldásainak támogatására. Ha olyan több-bérlős megoldást hoz létre, amely tartalmazza a Key Vaultot, javasoljuk, hogy ügyfélenként egy Key Vaultot használjon az ügyfelek adatainak és számítási feladatainak elkülönítéséhez, tekintse át a Több-bérlősséget és az Azure Key Vaultot.
Gyakori kérdések:
Használhatom a Key Vault szerepköralapú hozzáférés-vezérlési (RBAC) engedélymodell objektumhatókör-hozzárendeléseit az alkalmazáscsapatok elkülönítéséhez a Key Vaultban?
Szám Az RBAC-engedélymodell lehetővé teszi, hogy hozzáférést rendeljen a Key Vault egyes objektumaihoz a felhasználóhoz vagy alkalmazáshoz, de csak olvasásra. Minden felügyeleti művelethez, például a hálózati hozzáférés-vezérléshez, a monitorozáshoz és az objektumkezeléshez tárolószintű engedélyekre van szükség. Alkalmazásonként egy Key Vault biztonságos elkülönítést biztosít az operátorok számára az alkalmazáscsapatok között.
Következő lépések
További információ a kulcskezelési ajánlott eljárásokról:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: