Nota
L'accesso a questa pagina richiede l'autorizzazione. Puoi provare ad accedere o a cambiare directory.
L'accesso a questa pagina richiede l'autorizzazione. Puoi provare a cambiare directory.
I segreti di Azure Key Vault archiviano credenziali dell'applicazione sensibili, ad esempio password, stringhe di connessione e chiavi di accesso. Questo articolo fornisce raccomandazioni sulla sicurezza specifiche per la gestione dei segreti.
Annotazioni
Questo articolo è incentrato sulle procedure di sicurezza specifiche dei segreti di Key Vault. Per indicazioni complete sulla sicurezza di Key Vault, tra cui sicurezza di rete, gestione delle identità e degli accessi e architettura dell'insieme di credenziali, vedere Proteggere Azure Key Vault.
Cosa archiviare come segreti
I segreti di Azure Key Vault sono progettati per archiviare le credenziali del servizio o dell'applicazione. Archiviare i tipi di dati seguenti come segreti:
- Credenziali dell'applicazione: segreti dell'applicazione client, chiavi API, credenziali dell'entità servizio
- Stringhe di connessione: stringhe di connessione del database, stringhe di connessione per l'account di archiviazione
- Password: password dei servizi, password delle applicazioni
- Chiavi di accesso: chiavi di Cache Redis, chiavi di Hub eventi di Azure, chiavi di Azure Cosmos DB, chiavi di Archiviazione di Azure
- Chiavi SSH: chiavi SSH private per l'accesso sicuro alla shell
Importante
Non archiviare i dati di configurazione in Key Vault. Gli indirizzi IP, i nomi dei servizi, i flag di funzionalità e altre impostazioni di configurazione devono essere archiviati in Configurazione app di Azure anziché in Key Vault. Key Vault è ottimizzato per i segreti crittografici, non per la gestione generale della configurazione.
Per altre informazioni sui segreti, vedere Informazioni sui segreti di Azure Key Vault.
Formato di archiviazione dei segreti
Quando si archiviano segreti in Key Vault, seguire queste procedure consigliate per la formattazione:
Archiviare correttamente le credenziali composte: per le credenziali con più componenti (ad esempio nome utente/password), archiviarle come:
- Stringa di connessione formattata correttamente o
- Oggetto JSON contenente i componenti delle credenziali
Usare i tag per i metadati: archiviare informazioni di gestione come pianificazioni di rotazione, date di scadenza e proprietà nei tag segreti anziché nel valore segreto stesso.
Ridurre al minimo le dimensioni del segreto: mantenere concisi i valori segreti. I grandi payload devono essere archiviati in Azure Storage con crittografia, usando una chiave di Key Vault per la crittografia e un segreto Key Vault per il token di accesso allo storage.
Rotazione dei segreti
I segreti archiviati nella memoria dell'applicazione o nei file di configurazione persistono per l'intero ciclo di vita dell'applicazione, aumentando il rischio di esposizione. Implementare una rotazione regolare dei segreti per ridurre al minimo il rischio di compromissione:
- Aggiornare regolarmente le informazioni riservate: aggiornare le credenziali almeno ogni 60 giorni o più frequentemente in contesti ad alta sicurezza.
- Automatizzare la rotazione: usare le funzionalità di rotazione di Azure Key Vault per automatizzare il processo di rotazione
- Usare credenziali doppie: per la rotazione senza tempi di inattività, implementare le risorse con due set di credenziali di autenticazione
Per altre informazioni sulla rotazione dei segreti, vedere:
- Automatizzare la rotazione dei segreti per le risorse con un set di credenziali di autenticazione
- Automatizzare la rotazione dei segreti per le risorse con due set di credenziali di autenticazione
Memorizzazione nella cache e prestazioni dei segreti
Key Vault applica i limiti del servizio per evitare abusi. Per ottimizzare l'accesso ai segreti mantenendo la sicurezza:
- Memorizzare nella cache i segreti in memoria: memorizzare nella cache i segreti nell'applicazione per almeno 8 ore per ridurre le chiamate API di Key Vault
- Implementare la logica di ripetizione dei tentativi: usare la logica di ripetizione dei tentativi con back-off esponenziale per gestire i malfunzionamenti e la limitazione delle richieste temporanei
- Aggiornamento in rotazione: aggiornare i valori memorizzati nella cache quando i segreti vengono ruotati per garantire che le applicazioni usino le credenziali correnti
Per altre informazioni sulla limitazione delle richieste, vedere la Guida alla limitazione delle richieste per Azure Key Vault.
Monitoraggio dei segreti
Abilitare il monitoraggio per tenere traccia dei modelli di accesso ai segreti e rilevare potenziali problemi di sicurezza:
- Abilitare la registrazione di Key Vault: registrare tutte le operazioni di accesso ai segreti per rilevare tentativi di accesso non autorizzati. Vedere Registrazione di Azure Key Vault
- Configurare le notifiche di Griglia di eventi: monitorare gli eventi del ciclo di vita dei segreti (creati, aggiornati, scaduti, prossimi alla scadenza) per i flussi di lavoro automatizzati. Visualizza Azure Key Vault come origine di Event Grid
- Configurare gli avvisi: configurare gli avvisi di Monitoraggio di Azure per modelli di accesso sospetti o tentativi di autenticazione non riusciti. Vedere Monitoraggio e avvisi per Azure Key Vault
- Controllare regolarmente l'accesso: controllare periodicamente chi può accedere ai segreti e rimuovere autorizzazioni non necessarie
Articoli sulla sicurezza correlati
- Proteggi il tuo Azure Key Vault - Linee guida complete per la sicurezza di Azure Key Vault
- Proteggere le chiavi di Azure Key Vault - Procedure consigliate per la sicurezza per le chiavi crittografiche
- Proteggere i certificati di Azure Key Vault - Procedure consigliate per la sicurezza per i certificati