Condividi tramite


Procedure consigliate per l'uso di Azure Key Vault

Azure Key Vault protegge le chiavi di crittografia e i segreti, ad esempio certificati, stringhe di connessione e password. Questo articolo illustra come ottimizzare l'uso delle istanze di Key Vault.

Usare insiemi di credenziali delle chiavi separati

È consigliabile usare un insieme di credenziali per applicazione per ambiente (sviluppo, preproduzione e produzione), per area. L'isolamento granulare consente di non condividere segreti tra applicazioni, ambienti e aree e ridurre anche la minaccia in caso di violazione.

Perché è consigliabile separare gli insiemi di credenziali delle chiavi

Gli insiemi di credenziali delle chiavi definiscono i limiti di sicurezza per i segreti archiviati. Il raggruppamento dei segreti nello stesso insieme di credenziali aumenta il raggio d'attacco di un evento di sicurezza perché gli attacchi potrebbero essere in grado di accedere ai segreti in tutti i contesti. Per ridurre l'accesso ai vari contesti, considerare i segreti a cui un'applicazione specifica deve avere accesso e quindi separare gli insiemi di credenziali delle chiavi in base a questa delineazione. La separazione degli insiemi di credenziali delle chiavi per applicazione è il limite più comune. I limiti di sicurezza, tuttavia, possono essere più granulari per applicazioni di grandi dimensioni, ad esempio per ogni gruppo di servizi correlati.

Controllare l'accesso all'insieme di credenziali

Le chiavi di crittografia e i segreti, ad esempio certificati, stringhe di connessione e password, sono sensibili e business critical. È necessario proteggere l'accesso ai vault delle chiavi consentendo l'accesso solo alle applicazioni e agli utenti autorizzati. Le funzionalità di sicurezza di Azure Key Vault offrono una panoramica del modello di accesso di Key Vault. Illustra l'autenticazione e l'autorizzazione. Descrive anche come proteggere l'accesso agli insiemi di credenziali delle chiavi.

Queste sono le procedure consigliate per controllare l'accesso alle istanze di Key Vault:

  • Bloccare l'accesso alla sottoscrizione, al gruppo di risorse e agli insiemi di credenziali delle chiavi usando il modello di autorizzazione controllo degli accessi in base al ruolo per il piano dati.
    • Assegnare ruoli Controllo degli accessi in base al ruolo nell'ambito di Key Vault per applicazioni, servizi e carichi di lavoro che richiedono l'accesso permanente a Key Vault
    • Assegnare ruoli di controllo degli accessi in base al ruolo idonei JIT per operatori, amministratori e altri account utente che richiedono l'accesso con privilegi a Key Vault usando Privileged Identity Management (PIM)
      • Richiedere almeno un approvatore
      • Applicare l'autenticazione a più fattori
  • Limitare l'accesso alla rete con collegamento privato, firewall e reti virtuali

Importante

Il modello di autorizzazione denominato "Criteri di accesso legacy" presenta vulnerabilità di sicurezza note e una mancanza di supporto per il Privileged Identity Management e non deve essere utilizzato per dati e carichi di lavoro critici.

Attivare la protezione dei dati per l'insieme di credenziali

Attivare la protezione da rimozione definitiva per proteggersi da eliminazioni dannose o accidentali dei segreti e dell'insieme di credenziali delle chiavi anche dopo l'attivazione dell'eliminazione temporanea.

Per altre informazioni, vedere Panoramica dell'eliminazione temporanea di Azure Key Vault.

Abilitare la registrazione

Attivare la registrazione per l'insieme di credenziali. Configurare anche gli avvisi.

Copia di sicurezza

La protezione da rimozione definitiva impedisce l'eliminazione accidentale e dannosa degli oggetti dell'insieme di credenziali per un massimo di 90 giorni. Nei casi in cui la protezione dalla cancellazione non è un'opzione praticabile, consigliamo di eseguire il backup degli oggetti della cassetta di sicurezza, che non possono essere ricreati da altre fonti, come ad esempio le chiavi di crittografia generate all'interno della cassetta di sicurezza.

Per altre informazioni sul backup, vedere Backup e ripristino di Azure Key Vault.

Soluzioni multi-tenant e Key Vault

Una soluzione multi-tenant si basa su un'architettura in cui i componenti vengono usati per gestire più clienti o tenant. Le soluzioni multi-tenant vengono spesso usate per supportare soluzioni SaaS (Software as a Service). Se stai creando una soluzione multi-tenant che include Key Vault, è consigliabile usare un Key Vault per cliente per isolare i dati e i carichi di lavoro dei clienti, consulta Multitenancy e Azure Key Vault.

Domande frequenti:

È possibile utilizzare assegnazioni a livello di oggetto del modello di autorizzazione del Controllo degli accessi basato sui ruoli (RBAC) di Key Vault per garantire l'isolamento dei team di sviluppo all'interno di Key Vault?

No. Il modello di autorizzazioni basato su ruoli (RBAC) consente di assegnare singoli oggetti in Key Vault a utenti o applicazioni, ma solo per la lettura. Tutte le operazioni amministrative come il controllo di accesso alla rete, il monitoraggio e la gestione degli oggetti richiedono autorizzazioni a livello di Key Vault. La presenza di una sola istanza di Key Vault per ogni applicazione garantisce l'isolamento sicuro per gli operatori tra i team delle applicazioni.

Passaggi successivi

Altre informazioni sulle procedure consigliate per la gestione delle chiavi: