Ajánlott eljárások az Azure Key Vault használatához
Az Azure Key Vault védi a titkosítási kulcsokat és titkos kulcsokat, például a tanúsítványokat, a kapcsolati sztringeket és a jelszavakat. Ez a cikk segít optimalizálni a kulcstartók használatát.
Különálló kulcstartók használata
Javasoljuk, hogy régiónként használjon tárolót alkalmazásonként (fejlesztés, gyártás előtti és éles környezet). A részletes elkülönítéssel nem oszthatja meg a titkos kódokat az alkalmazások, környezetek és régiók között, és csökkenti a fenyegetést is, ha biztonsági incidens történik.
Miért javasoljuk külön kulcstartók használatát?
A kulcstartók biztonsági határokat határoznak meg a tárolt titkos kódokhoz. A titkos kulcsok ugyanabba a tárolóba való csoportosítása növeli a biztonsági események robbanási sugarát , mivel a támadások több szempontból is hozzáférhetnek a titkos kódokhoz. A problémák közötti hozzáférés mérséklése érdekében gondolja át, hogy egy adott alkalmazásnak milyen titkos kulcsokhoz kell hozzáférése, majd válassza el a kulcstartókat ezen elválasztás alapján. A kulcstartók alkalmazásonkénti elkülönítése a leggyakoribb határ. A biztonsági határok azonban részletesebbek lehetnek a nagy méretű alkalmazások esetében, például a kapcsolódó szolgáltatások csoportjában.
A tárolóhoz való hozzáférés szabályozása
A titkosítási kulcsok és titkos kódok, például a tanúsítványok, a kapcsolati sztringek és a jelszavak bizalmasak és üzleti szempontból kritikus fontosságúak. A kulcstartókhoz való hozzáférést úgy kell biztonságossá tenni, hogy csak az engedélyezett alkalmazásokat és felhasználókat engedélyezi. Az Azure Key Vault biztonsági funkciói áttekintést nyújtanak a Key Vault hozzáférési modellről. Ismerteti a hitelesítést és az engedélyezést. Azt is ismerteti, hogyan védheti meg a kulcstartókhoz való hozzáférést.
A tárolóhoz való hozzáférés szabályozására vonatkozó javaslatok a következők:
- Az előfizetéshez, az erőforráscsoporthoz és a kulcstartókhoz való hozzáférés zárolása szerepköralapú hozzáférés-vezérlés (RBAC) használatával.
- RBAC-szerepkörök hozzárendelése Key Vault hatókörben olyan alkalmazásokhoz, szolgáltatásokhoz és számítási feladatokhoz, amelyek állandó hozzáférést igényelnek a Key Vault
- Igény szerinti jogosult RBAC-szerepkörök hozzárendelése olyan operátorokhoz, rendszergazdákhoz és más felhasználói fiókokhoz, amelyek jogosultsági szintű hozzáférést igényelnek a Key Vault Privileged Identity Management (PIM) használatával
- Legalább egy jóváhagyó megkövetelése
- Többtényezős hitelesítés kényszerítése
- Hálózati hozzáférés korlátozása Private Link, tűzfal és virtuális hálózatok használatával
A tároló adatvédelmének bekapcsolása
Kapcsolja be a végleges törlés elleni védelmet, hogy a helyreállítható törlés bekapcsolása után is védve legyen a titkos kódok és kulcstartók rosszindulatú vagy véletlen törlése ellen.
További információ: Az Azure Key Vault helyreállítható törlés áttekintése
Kapcsolja be a naplózást
Kapcsolja be a tároló naplózását . Emellett állítson be riasztásokat is.
Backup
A végleges törlés elleni védelem legfeljebb 90 napig megakadályozza a tárolóobjektumok rosszindulatú és véletlen törlését. Olyan esetekben, amikor a végleges törlés elleni védelem nem lehetséges, javasoljuk, hogy készítsen biztonsági mentési tárolóobjektumokat, amelyek nem hozhatók létre más forrásokból, például a tárolóban létrehozott titkosítási kulcsokból.
A biztonsági mentésről további információt az Azure Key Vault biztonsági mentését és visszaállítását ismertető cikkben talál.
Több-bérlős megoldások és Key Vault
A több-bérlős megoldások olyan architektúrára épülnek, amelyben az összetevők több ügyfél vagy bérlő kiszolgálására szolgálnak. A több-bérlős megoldásokat gyakran használják szolgáltatott szoftveres (SaaS-) megoldások támogatására. Ha Key Vault tartalmazó több-bérlős megoldást hoz létre, tekintse át a Több-bérlős és az Azure Key Vault című cikket.
Gyakori kérdések:
Használhatok Key Vault szerepköralapú hozzáférés-vezérlési (RBAC-) engedélymodell objektumhatókör-hozzárendeléseit az alkalmazáscsapatok elkülönítéséhez a Key Vault?
Nem. Az RBAC-engedélymodell lehetővé teszi, hogy hozzáférést rendeljen a Key Vault egyes objektumaihoz a felhasználóhoz vagy alkalmazáshoz, de csak olvasásra. Minden felügyeleti művelethez, például a hálózati hozzáférés-vezérléshez, a monitorozáshoz és az objektumok kezeléséhez tárolószintű engedélyekre van szükség. Alkalmazásonként egy Key Vault biztonságos elkülönítést biztosít az operátorok számára az alkalmazáscsapatok között.
Következő lépések
További információ a kulcskezelés ajánlott eljárásairól: