Praktik terbaik untuk manajemen rahasia pada Key Vault
Azure Key Vault memungkinkan Anda menyimpan info masuk aplikasi atau layanan seperti kata sandi dan kunci akses sebagai rahasia. Semua rahasia di brankas kunci Anda disimpan dan dienkripsi dengan kunci perangkat lunak. Ketika Anda menggunakan Key Vault, Anda tidak perlu lagi menyimpan informasi keamanan di aplikasi Anda. Tidak harus menyimpan informasi keamanan dalam aplikasi, menghilangkan kebutuhan untuk menjadikan informasi ini bagian dari kode.
Contoh rahasia yang harus disimpan di Key Vault:
- Rahasia aplikasi klien
- String koneksi
- Kata Sandi
- Kunci akses (Redis Cache, Azure Event Hubs, Azure Cosmos DB)
- Kunci SSH
Informasi sensitif lainnya seperti alamat IP, nama layanan, dan pengaturan konfigurasi lainnya harus disimpan di Azure App Configuration, bukan di Key Vault.
Setiap brankas kunci individu menentukan batas keamanan untuk rahasia. Untuk brankas kunci tunggal per aplikasi, per wilayah, per lingkungan, sebaiknya Anda menyediakan isolasi granular rahasia untuk aplikasi.
Untuk informasi selengkapnya tentang praktik terbaik untuk Key Vault, lihat Praktik terbaik penggunaan Key Vault.
Konfigurasi dan penyimpanan
Menyimpan informasi masuk yang diperlukan untuk mengakses database atau layanan dalam nilai rahasia. Dalam kasus info masuk majemuk seperti nama pengguna/kata sandi, info masuk tersebut dapat disimpan sebagai string koneksi atau objek JSON. Informasi lain yang diperlukan untuk manajemen harus disimpan dalam tag, yaitu konfigurasi rotasi.
Untuk informasi selengkapnya tentang rahasia, lihat Tentang rahasia Azure Key Vault.
Rotasi rahasia
Rahasia sering kali disimpan dalam memori aplikasi sebagai variabel lingkungan atau pengaturan konfigurasi selama siklus hidup aplikasi, yang membuatnya sensitif terhadap eksposur yang tidak diinginkan. Karena rentan terhadap kebocoran atau eksposur, rahasia harus sering dirotasi setidaknya setiap 60 hari.
Untuk informasi selengkapnya tentang proses rotasi rahasia, lihat Mengotomatiskan rahasia sumber daya yang memiliki dua rangkaian info masuk autentikasi.
Akses dan isolasi jaringan
Anda dapat mengurangi paparan vault Anda dengan menentukan alamat IP mana yang memiliki akses ke vault tersebut. Konfigurasikan firewall agar hanya mengizinkan aplikasi dan layanan terkait mengakses rahasia di brankas guna mengurangi kemampuan penyerang mengakses rahasia.
Untuk informasi selengkapnya tentang keamanan jaringan, lihat Mengonfigurasi pengaturan jaringan Azure Key Vault.
Selain itu, aplikasi harus mengikuti akses dengan hak istimewa paling rendah dengan hanya memiliki akses untuk membaca rahasia. Akses ke rahasia dapat dikontrol dengan kebijakan akses atau kontrol akses berbasis peran Azure.
Untuk informasi selengkapnya tentang kontrol akses di Azure Key Vault, lihat:
- Memberikan akses ke rahasia, sertifikat, dan kunci Key Vault dengan kontrol akses berbasis peran Azure
- Menetapkan kebijakan akses Key Vault
Batas layanan dan penembolokan
Key Vault awalnya dibuat dengan batas yang ditentukan dalam batas layanan Azure Key Vault. Untuk memaksimalkan tingkat throughput, berikut dua praktik terbaik yang direkomendasikan:
- Simpan cache rahasia dalam aplikasi setidaknya selama delapan jam.
- Terapkan logika coba lagi mundur eksponensial untuk menangani skenario saat batas layanan terlampaui.
Untuk informasi selengkapnya tentang panduan pembatasan, lihat Panduan pembatasan Azure Key Vault.
Pemantauan
Untuk memantau akses ke rahasia dan siklus hidupnya, aktifkan pengelogan Key Vault. Gunakan Azure Monitor untuk memantau semua aktivitas rahasia di semua brankas Anda di satu tempat. Atau gunakan Azure Event Grid untuk memantau siklus hidup rahasia, karena memiliki integrasi yang mudah dengan Azure Logic Apps dan Azure Functions.
Untuk informasi selengkapnya, lihat:
- Azure Key Vault sebagai sumber Event Grid
- Pengelogan Azure Key Vault
- Pemantauan dan pemberitahuan untuk Azure Key Vault
Perlindungan cadangan dan penghapusan
Aktifkan perlindungan penghapusan menyeluruh untuk mencegah penghapusan berbahaya atau yang tidak disengaja terhadap rahasia. Dalam skenario saat perlindungan penghapusan menyeluruh bukanlah opsi yang mungkin, sebaiknya cadangkan rahasia, yang tidak dapat dibuat ulang dari sumber lain.