Ajánlott eljárások a titkos kódok kezeléséhez a Key Vault
Az Azure Key Vault segítségével biztonságosan tárolhatja a szolgáltatás- vagy alkalmazás-hitelesítő adatokat, például a jelszavakat és a hozzáférési kulcsokat titkos kulcsként. A kulcstartóban lévő összes titkos kód szoftverkulccsal van titkosítva. A Key Vault használatakor már nem kell biztonsági információkat tárolnia az alkalmazásokban. Ha nem kell biztonsági adatokat tárolnia az alkalmazásokban, azzal szükségtelenné teszi, hogy ezeket az információkat a kód részévé tegye.
Példák olyan titkos kódokra, amelyeket Key Vault kell tárolni:
- Ügyfélalkalmazás titkos kódjai
- Kapcsolati sztringek
- Jelszavak
- Hozzáférési kulcsok (Redis Cache, Azure Event Hubs, Azure Cosmos DB)
- SSH-kulcsok
Minden más bizalmas információt, például az IP-címeket, a szolgáltatásneveket és más konfigurációs beállításokat a Key Vault helyett Azure App Configuration kell tárolni.
Minden egyes kulcstartó biztonsági határokat határoz meg a titkos kódokhoz. Alkalmazásonként, régiónként és környezetenként egyetlen kulcstartó esetében azt javasoljuk, hogy biztosítsa az alkalmazások titkos kulcsainak részletes elkülönítését.
További információ a Key Vault ajánlott eljárásairól: Ajánlott eljárások a Key Vault használatához.
Konfigurálás és tárolás
Tárolja az adatbázishoz vagy szolgáltatáshoz való hozzáféréshez szükséges hitelesítő adatokat titkos értékben. Összetett hitelesítő adatok, például felhasználónév/jelszó esetén az kapcsolati sztring vagy JSON-objektumként tárolható. A felügyelethez szükséges egyéb információkat címkékben, azaz rotációs konfigurációban kell tárolni.
A titkos kódokkal kapcsolatos további információkért lásd: Az Azure Key Vault titkos kódjai.
Titkos kulcsok rotálása
A titkos kódokat gyakran környezeti változókként vagy konfigurációs beállításokként tárolják az alkalmazás memóriájában a teljes alkalmazás-életciklushoz, ami érzékenysé teszi őket a nem kívánt expozícióra. Mivel a titkos kódok érzékenyek a szivárgásra vagy az expozícióra, fontos, hogy gyakran, legalább 60 naponta forgassa el őket.
A titkos kódok rotálási folyamatával kapcsolatos további információkért lásd : Titkos kódok rotálásának automatizálása két hitelesítési hitelesítő adatkészlettel rendelkező erőforrások esetében.
Hozzáférés és hálózatelkülönítés
Csökkentheti a tárolók kitettségét, ha megadja, hogy mely IP-címek férhetnek hozzá. Konfigurálja úgy a tűzfalat, hogy csak az alkalmazások és a kapcsolódó szolgáltatások férhessenek hozzá a titkos kulcsokhoz a tárolóban, így csökkentve a támadók hozzáférését a titkos kódokhoz.
További információ a hálózati biztonságról: Az Azure Key Vault hálózati beállításainak konfigurálása.
Emellett az alkalmazásoknak a legalacsonyabb jogosultsági szintű hozzáférést kell követnie azzal, hogy csak olvasási titkos kódokhoz férnek hozzá. A titkos kódokhoz való hozzáférés hozzáférési szabályzatokkal vagy azure-beli szerepköralapú hozzáférés-vezérléssel szabályozható.
További információ az Azure Key Vault hozzáférés-vezérléséről:
- Hozzáférés biztosítása Key Vault kulcsokhoz, tanúsítványokhoz és titkos kódokhoz az Azure szerepköralapú hozzáférés-vezérlésével
- Key Vault-hozzáférési szabályzat hozzárendelése
Szolgáltatási korlátok és gyorsítótárazás
Key Vault eredetileg az Azure Key Vault szolgáltatási korlátaiban meghatározott szabályozási korlátozásokkal hozták létre. Az átviteli sebesség maximalizálása érdekében íme két ajánlott eljárás:
- Gyorsítótárazza a titkos kódokat az alkalmazásban legalább nyolc órán át.
- Implementáljon exponenciális visszatartási újrapróbálkozási logikát a szolgáltatási korlátok túllépése esetén történő forgatókönyvek kezelésére.
A szabályozással kapcsolatos további információkért lásd az Azure Key Vault szabályozási útmutatót.
Figyelés
A titkos kódokhoz és azok életciklusához való hozzáférés figyeléséhez kapcsolja be a Key Vault naplózást. Az Azure Monitorral egyetlen helyen monitorozhatja az összes titkos kódtevékenységet az összes tárolóban. Vagy használja a Azure Event Grid a titkos kódok életciklusának monitorozására, mivel könnyen integrálása az Azure Logic Appsszel és Azure Functions.
További információkért lásd:
- Azure Key Vault Event Grid-forrásként
- Azure Key Vault naplózása
- Monitorozás és riasztások az Azure Key Vault
Biztonsági mentés és végleges törlés elleni védelem
Kapcsolja be a végleges törlés elleni védelmet a titkos kódok rosszindulatú vagy véletlen törlése elleni védelem érdekében. Olyan esetekben, amikor a végleges törlés elleni védelem nem lehetséges, javasoljuk a biztonsági mentési titkos kulcsok létrehozását, amelyek más forrásokból nem hozhatók létre újra.