Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Key Vault melindungi kunci dan rahasia enkripsi seperti sertifikat, string koneksi, dan kata sandi. Artikel ini bertujuan untuk membantu Anda mengoptimalkan pengelolaan brankas kunci.
Gunakan brankas kunci yang terpisah
Rekomendasi kami adalah menggunakan brankas untuk setiap aplikasi di setiap lingkungan (pengembangan, praproduksi, dan produksi), di setiap wilayah. Isolasi granular membantu Anda tidak berbagi rahasia di seluruh aplikasi, lingkungan, dan wilayah, dan juga mengurangi ancaman jika ada pelanggaran.
Mengapa kami merekomendasikan brankas kunci terpisah
Brankas kunci menentukan batas perlindungan untuk rahasia yang disimpan. Mengelompokkan rahasia ke dalam vault yang sama meningkatkan radius ledakan dari sebuah peristiwa keamanan karena serangan mungkin dapat mengakses rahasia di berbagai bidang. Untuk mengurangi akses melintasi berbagai aspek kekhawatiran, pertimbangkan rahasia apa yang harus diakses oleh aplikasi tertentu, lalu pisahkan penyimpanan kunci Anda berdasarkan pemisahan ini. Memisahkan brankas kunci berdasarkan aplikasi adalah batas yang paling umum. Namun, batas keamanan dapat lebih terperinci untuk aplikasi besar, misalnya, per kelompok layanan terkait.
Mengontrol akses ke vault Anda
Kunci dan rahasia enkripsi seperti sertifikat, string koneksi, dan kata sandi sangat sensitif dan penting bagi bisnis. Anda perlu mengamankan akses ke brankas kunci Anda dengan hanya mengizinkan aplikasi dan pengguna yang berwenang. Fitur keamanan Azure Key Vault memberikan gambaran umum tentang model akses Key Vault. Ini menjelaskan autentikasi dan otorisasi. Ini juga menjelaskan cara mengamankan akses ke brankas kunci Anda.
Rekomendasi untuk mengontrol akses ke vault Anda adalah sebagai berikut:
- Batasi akses ke langganan, grup sumber daya, dan brankas kunci Anda menggunakan model izin kontrol akses berbasis peran (RBAC) untuk data plane.
- Menetapkan peran RBAC di cakupan Key Vault untuk aplikasi, layanan, dan beban kerja yang memerlukan akses persisten ke Key Vault
- Tetapkan peran RBAC just-in-time yang memenuhi syarat untuk operator, administrator, dan akun pengguna lain yang memerlukan akses istimewa ke Key Vault menggunakan Privileged Identity Management (PIM)
- Memerlukan setidaknya satu pemberi izin
- Menerapkan autentikasi multifaktor
- Membatasi akses jaringan dengan Private Link, firewall, dan jaringan virtual
Penting
Model izin Kebijakan Akses Warisan memiliki kerentanan keamanan yang diketahui dan kurangnya dukungan Priviliged Identity Management dan tidak boleh digunakan untuk data dan beban kerja penting.
Mengaktifkan perlindungan data untuk vault Anda
Aktifkan perlindungan penghapusan untuk mencegah penghapusan rahasia dan brankas kunci yang berbahaya atau tidak disengaja, bahkan setelah penghapusan sementara diaktifkan.
Untuk informasi selengkapnya, lihat Gambaran umum penghapusan sementara Azure Key Vault.
Aktifkan pengelogan
Aktifkan pengelogan untuk vault Anda. Selain itu, siapkan pemberitahuan.
Backup
Perlindungan penghapusan mencegah penghapusan objek vault, baik yang berbahaya maupun tidak disengaja, hingga 90 hari. Dalam skenario, ketika perlindungan penghapusan bukanlah opsi yang mungkin, kami merekomendasikan objek brankas cadangan, yang tidak dapat dibuat ulang dari sumber-sumber lain seperti kunci enkripsi yang dihasilkan di dalam brankas.
Untuk informasi selengkapnya tentang pencadangan, lihat Pencadangan dan pemulihan Azure Key Vault.
Solusi multipenyewa dan Key Vault
Solusi multipenyewa dibangun di atas arsitektur yang menggunakan komponen untuk melayani beberapa pelanggan atau penyewa. Solusi multipenyewa sering digunakan untuk mendukung solusi software as a service (SaaS). Jika Anda membangun solusi multipenyewa yang menyertakan Key Vault, disarankan untuk menggunakan satu Key Vault per pelanggan untuk menyediakan isolasi untuk data dan beban kerja pelanggan, tinjau Multitenancy dan Azure Key Vault.
Tanya Jawab Umum:
Bisakah saya menggunakan penugasan cakupan objek model izin pengendalian akses berbasis peran (RBAC) di Key Vault untuk menyediakan isolasi bagi tim aplikasi di dalam Key Vault?
Tidak. Model izin RBAC memungkinkan untuk menetapkan akses ke objek individual di Key Vault ke pengguna atau aplikasi, tetapi hanya untuk dibaca. Setiap operasi administratif seperti kontrol akses jaringan, pemantauan, dan manajemen objek memerlukan izin tingkat brankas. Memiliki satu Key Vault per aplikasi menyediakan isolasi yang aman untuk operator di seluruh tim aplikasi.
Langkah selanjutnya
Pelajari selengkapnya tentang praktik terbaik manajemen kunci: