Ajánlott eljárások az Azure Key Vault használatához

  • Cikk

Az Azure Key Vault védi a titkosítási kulcsokat és titkos kulcsokat, például a tanúsítványokat, a kapcsolati sztringeket és a jelszavakat. Ez a cikk segít optimalizálni a kulcstartók használatát.

Különálló kulcstartók használata

Javasoljuk, hogy régiónként használjon tárolót alkalmazásonként (fejlesztés, gyártás előtti és éles környezet). A részletes elkülönítéssel nem oszthatja meg a titkos kódokat az alkalmazások, környezetek és régiók között, és csökkenti a fenyegetést is, ha biztonsági incidens történik.

Miért javasoljuk külön kulcstartók használatát?

A kulcstartók biztonsági határokat határoznak meg a tárolt titkos kódokhoz. A titkos kulcsok ugyanabba a tárolóba való csoportosítása növeli a biztonsági események robbanási sugarát , mivel a támadások több szempontból is hozzáférhetnek a titkos kódokhoz. A problémák közötti hozzáférés mérséklése érdekében gondolja át, hogy egy adott alkalmazásnak milyen titkos kulcsokhoz kell hozzáférése, majd válassza el a kulcstartókat ezen elválasztás alapján. A kulcstartók alkalmazásonkénti elkülönítése a leggyakoribb határ. A biztonsági határok azonban részletesebbek lehetnek a nagy méretű alkalmazások esetében, például a kapcsolódó szolgáltatások csoportjában.

A tárolóhoz való hozzáférés szabályozása

A titkosítási kulcsok és titkos kódok, például a tanúsítványok, a kapcsolati sztringek és a jelszavak bizalmasak és üzleti szempontból kritikus fontosságúak. A kulcstartókhoz való hozzáférést úgy kell biztonságossá tenni, hogy csak az engedélyezett alkalmazásokat és felhasználókat engedélyezi. Az Azure Key Vault biztonsági funkciói áttekintést nyújtanak a Key Vault hozzáférési modellről. Ismerteti a hitelesítést és az engedélyezést. Azt is ismerteti, hogyan védheti meg a kulcstartókhoz való hozzáférést.

A tárolóhoz való hozzáférés szabályozására vonatkozó javaslatok a következők:

  • Az előfizetéshez, az erőforráscsoporthoz és a kulcstartókhoz való hozzáférés zárolása szerepköralapú hozzáférés-vezérlés (RBAC) használatával.
  • RBAC-szerepkörök hozzárendelése Key Vault hatókörben olyan alkalmazásokhoz, szolgáltatásokhoz és számítási feladatokhoz, amelyek állandó hozzáférést igényelnek a Key Vault
  • Igény szerinti jogosult RBAC-szerepkörök hozzárendelése olyan operátorokhoz, rendszergazdákhoz és más felhasználói fiókokhoz, amelyek jogosultsági szintű hozzáférést igényelnek a Key Vault Privileged Identity Management (PIM) használatával
    • Legalább egy jóváhagyó megkövetelése
    • Többtényezős hitelesítés kényszerítése
  • Hálózati hozzáférés korlátozása Private Link, tűzfal és virtuális hálózatok használatával

A tároló adatvédelmének bekapcsolása

Kapcsolja be a végleges törlés elleni védelmet, hogy a helyreállítható törlés bekapcsolása után is védve legyen a titkos kódok és kulcstartók rosszindulatú vagy véletlen törlése ellen.

További információ: Az Azure Key Vault helyreállítható törlés áttekintése

Kapcsolja be a naplózást

Kapcsolja be a tároló naplózását . Emellett állítson be riasztásokat is.

Backup

A végleges törlés elleni védelem legfeljebb 90 napig megakadályozza a tárolóobjektumok rosszindulatú és véletlen törlését. Olyan esetekben, amikor a végleges törlés elleni védelem nem lehetséges, javasoljuk, hogy készítsen biztonsági mentési tárolóobjektumokat, amelyek nem hozhatók létre más forrásokból, például a tárolóban létrehozott titkosítási kulcsokból.

A biztonsági mentésről további információt az Azure Key Vault biztonsági mentését és visszaállítását ismertető cikkben talál.

Több-bérlős megoldások és Key Vault

A több-bérlős megoldások olyan architektúrára épülnek, amelyben az összetevők több ügyfél vagy bérlő kiszolgálására szolgálnak. A több-bérlős megoldásokat gyakran használják szolgáltatott szoftveres (SaaS-) megoldások támogatására. Ha Key Vault tartalmazó több-bérlős megoldást hoz létre, tekintse át a Több-bérlős és az Azure Key Vault című cikket.

Gyakori kérdések:

Használhatok Key Vault szerepköralapú hozzáférés-vezérlési (RBAC-) engedélymodell objektumhatókör-hozzárendeléseit az alkalmazáscsapatok elkülönítéséhez a Key Vault?

Nem. Az RBAC-engedélymodell lehetővé teszi, hogy hozzáférést rendeljen a Key Vault egyes objektumaihoz a felhasználóhoz vagy alkalmazáshoz, de csak olvasásra. Minden felügyeleti művelethez, például a hálózati hozzáférés-vezérléshez, a monitorozáshoz és az objektumok kezeléséhez tárolószintű engedélyekre van szükség. Alkalmazásonként egy Key Vault biztonságos elkülönítést biztosít az operátorok számára az alkalmazáscsapatok között.

Következő lépések

További információ a kulcskezelés ajánlott eljárásairól: