Mengamankan rahasia Azure Key Vault Anda

Azure Key Vault rahasia menyimpan kredensial aplikasi sensitif seperti kata sandi, string koneksi, dan kunci akses. Artikel ini menyediakan rekomendasi keamanan khusus untuk manajemen rahasia.

Nota

Artikel ini berfokus pada praktik keamanan khususnya pada rahasia Key Vault. Untuk panduan keamanan Key Vault komprehensif termasuk keamanan jaringan, manajemen identitas dan akses, dan arsitektur brankas, lihat Mengamankan Azure Key Vault.

Apa yang harus disimpan sebagai rahasia

Azure Key Vault secret dirancang untuk menyimpan kredensial layanan atau aplikasi. Simpan jenis data berikut sebagai rahasia:

• Info masuk aplikasi: Rahasia aplikasi klien, kunci API, kredensial perwakilan layanan
• String sambungan: String sambungan database, string sambungan akun penyimpanan
• Kata sandi: Kata sandi layanan, kata sandi aplikasi
• kunci Akses: Kunci Redis Cache, kunci Azure Event Hubs, kunci Azure Cosmos DB, kunci Azure Storage
• Kunci SSH: Kunci SSH privat untuk akses shell yang aman

Penting

Jangan simpan data konfigurasi dalam Key Vault. Alamat IP, nama layanan, bendera fitur, dan pengaturan konfigurasi lainnya harus disimpan di Azure App Configuration daripada di Key Vault. Key Vault dioptimalkan untuk rahasia kriptografi, bukan manajemen konfigurasi umum.

Untuk informasi selengkapnya tentang rahasia, lihat Tentang rahasia Azure Key Vault.

Format penyimpanan rahasia

Saat menyimpan rahasia di Key Vault, ikuti praktik terbaik pemformatan ini:

• Simpan kredensial gabungan dengan benar: Untuk kredensial dengan beberapa komponen (seperti nama pengguna/kata sandi), simpan sebagai:

  • string koneksi yang diformat dengan benar, atau
  • Objek JSON yang berisi komponen kredensial

• Menggunakan tag untuk metadata: Menyimpan informasi manajemen seperti jadwal rotasi, tanggal kedaluwarsa, dan kepemilikan dalam tag rahasia daripada di nilai rahasia itu sendiri.

• Meminimalkan ukuran rahasia: Pertahankan nilai rahasia tetap ringkas. Payload besar harus disimpan di Azure Storage dengan enkripsi, menggunakan kunci Key Vault untuk enkripsi dan rahasia Key Vault untuk token akses penyimpanan.

Rotasi rahasia

Rahasia yang disimpan dalam memori aplikasi atau file konfigurasi bertahan untuk seluruh siklus hidup aplikasi, meningkatkan risiko paparan. Terapkan rotasi rahasia reguler untuk meminimalkan risiko kompromi:

• Putar rahasia secara teratur: Sering putar rahasia berdasarkan kebijakan keamanan organisasi Anda dan sensitivitas kredensial. Interval rotasi yang lebih pendek (misalnya, 60-90 hari) mengurangi risiko tereksposnya rahasia yang telah disusupi.
• Otomatiskan rotasi: Gunakan kemampuan rotasi Azure Key Vault untuk mengotomatiskan proses rotasi
• Gunakan kredensial ganda: Untuk rotasi waktu henti nol, terapkan sumber daya dengan dua set kredensial autentikasi

Untuk informasi selengkapnya tentang rotasi rahasia, lihat:

• Mengotomatiskan rotasi rahasia untuk sumber daya dengan satu set kredensial autentikasi
• Mengotomatiskan rotasi rahasia untuk sumber daya dengan dua set kredensial autentikasi

Penyimpanan sementara rahasia dan performa

Key Vault memberlakukan batas layanan untuk mencegah penyalahgunaan. Untuk mengoptimalkan akses rahasia sambil mempertahankan keamanan:

• Rahasia cache dalam memori: Rahasia cache di aplikasi Anda untuk mengurangi panggilan API Key Vault dan menghindari pembatasan. Gunakan kembali nilai cache jika memungkinkan dan segarkan nilai tersebut saat rahasia diperbarui. Untuk informasi selengkapnya, lihat panduan pembatasan Azure Key Vault.
• Menerapkan logika coba lagi: Gunakan logika pengecekan ulang kembali eksponensial untuk menangani kegagalan sementara dan pembatasan akses
• Refresh pada rotasi: Memperbarui nilai cache saat rahasia diputar untuk memastikan aplikasi menggunakan kredensial saat ini

Pemantauan rahasia

Aktifkan pemantauan untuk melacak pola akses rahasia dan mendeteksi potensi masalah keamanan:

• Aktifkan Logging Key Vault: Catat semua operasi akses rahasia untuk mendeteksi upaya akses yang tidak sah. Lihat pencatatan Azure Key Vault
• Menyiapkan pemberitahuan Event Grid: Memantau peristiwa siklus hidup rahasia (dibuat, diperbarui, kedaluwarsa, hampir kedaluwarsa) untuk alur kerja otomatis. Lihat Azure Key Vault sebagai sumber Event Grid
• Konfigurasi pemberitahuan: Menyiapkan pemberitahuan Azure Monitor untuk pola akses yang mencurigakan atau upaya autentikasi yang gagal. Lihat Monitoring dan pemberitahuan untuk Azure Key Vault
• Meninjau akses secara berkala: Mengaudit secara berkala siapa yang memiliki akses ke rahasia dan menghapus izin yang tidak perlu

Artikel keamanan terkait

• Mengamankan Azure Key Vault Anda - Panduan Keamanan Key Vault yang Komprehensif
• Sekuriti kunci Azure Key Vault Anda - Praktik terbaik keamanan untuk kunci kriptografi
• Sekuriti sertifikat Azure Key Vault Anda - Praktik terbaik keamanan untuk sertifikat

Langkah selanjutnya

• Tentang rahasia Azure Key Vault
• Azure Key Vault panduan pengembang
• Monitor Key Vault dengan Azure Monitor