Menemukan praktik terbaik Azure Key Vault

  • 3 menit

Azure Key Vault adalah alat untuk menyimpan dan mengakses rahasia dengan aman. Rahasia adalah apa pun yang ingin Anda kontrol aksesnya dengan ketat, seperti kunci API, kata sandi, atau sertifikat. Brankas adalah kumpulan rahasia yang logis.

Autentikasi

Untuk melakukan operasi apa pun dengan Key Vault, pertama Anda perlu mengautentikasinya. Ada tiga cara untuk mengautentikasi ke Key Vault:

  • Identitas terkelola untuk sumber daya Azure: Saat menerapkan aplikasi pada mesin virtual di Azure, Anda dapat menetapkan identitas ke mesin virtual Anda yang memiliki akses ke Key Vault. Anda juga dapat menetapkan identitas ke sumber daya Azure lainnya. Keuntungan dari pendekatan ini adalah bahwa aplikasi atau layanan tidak mengelola rotasi rahasia pertama. Azure secara otomatis memutar rahasia klien perwakilan layanan yang terkait dengan identitas. Kami menyarankan pendekatan ini sebagai praktik terbaik.

  • Prinsip dan sertifikat layanan: Anda dapat menggunakan prinsip dan sertifikat layanan terkait yang memiliki akses ke Key Vault. Kami tidak menyarankan pendekatan ini karena pemilik atau pengembang aplikasi harus memutar sertifikat.

  • Prinsip dan rahasia layanan: Meskipun Anda dapat menggunakan prinsip dan rahasia layanan untuk mengautentikasi ke Key Vault, kami tidak menyarankannya. Sulit untuk memutar rahasia bootstrap secara otomatis yang digunakan untuk mengautentikasi ke Key Vault.

Enkripsi data saat transit

Azure Key Vault memberlakukan protokol Keamanan Lapisan Transportasi (TLS) untuk melindungi data saat berpindah antara Azure Key Vault dan klien. Klien menegosiasikan koneksi TLS dengan Azure Key Vault. TLS menyediakan autentikasi yang kuat, privasi pesan, dan integritas (memungkinkan deteksi perusakan pesan, penyadapan, dan pemalsuan), interoperabilitas, fleksibilitas algoritma, dan kemudahan penyebaran dan penggunaan.

Perfect Forward Secrecy (PFS) melindungi koneksi antara sistem klien pelanggan dan layanan cloud Microsoft dengan kunci unik. Koneksi juga menggunakan panjang kunci enkripsi 2.048-bit berbasis RSA. Kombinasi ini menyulitkan seseorang untuk menyadap dan mengakses data yang sedang transit.

Praktik terbaik Azure Key Vault

  • Gunakan brankas kunci terpisah: Disarankan menggunakan vault per aplikasi per lingkungan (Pengembangan, Pra-Produksi, dan Produksi). Pola ini membantu Anda tidak berbagi rahasia di seluruh lingkungan dan juga mengurangi ancaman jika ada pelanggaran.

  • Kontrol akses ke brankas Anda: Data Key Vault sensitif dan penting bagi bisnis, Anda perlu mengamankan akses ke brankas kunci Anda dengan hanya mengizinkan aplikasi dan pengguna yang diotorisasi.

  • Cadangan: Buat pencadangan reguler vault Anda saat memperbarui/menghapus/membuat objek di dalam Vault.

  • Pencatatan: Pastikan untuk mengaktifkan pencatatan dan peringatan.

  • Opsi pemulihan: Aktifkan penghapusan sementara dan bersihkan perlindungan jika Anda ingin menjaga rahasia dari penghapusan paksa.