Procedure consigliate per Azure Key Vault

Azure Key Vault protegge le chiavi di crittografia e i segreti, come certificati, stringhe di connessione e password. Questo articolo illustra come ottimizzare l'uso delle istanze di Key Vault.

Usare insiemi di credenziali delle chiavi separati

È consigliabile usare un insieme di credenziali per applicazione, per ambiente (sviluppo, pre-produzione e produzione), per area. L'isolamento granulare consente di non condividere segreti tra applicazioni, ambienti e aree, oltre che di ridurre la minaccia in caso di violazione.

Perché è consigliabile separare gli insiemi di credenziali delle chiavi

Gli insiemi di credenziali delle chiavi definiscono i limiti di sicurezza per i segreti archiviati. Il raggruppamento dei segreti nello stesso insieme di credenziali aumenta il raggio di esplosione di un evento di sicurezza perché gli attacchi potrebbero essere in grado di accedere ai segreti tra problemi. Per ridurre l'accesso tra problemi, considerare i segreti a cui un'applicazione specifica deve avere accesso e quindi separare gli insiemi di credenziali delle chiavi in base a questo delineamento. La separazione degli insiemi di credenziali delle chiavi per applicazione è il limite più comune. I limiti di sicurezza, tuttavia, possono essere più granulari per applicazioni di grandi dimensioni, ad esempio per ogni gruppo di servizi correlati.

Controllare l'accesso all'insieme di credenziali

Le chiavi di crittografia e i segreti, ad esempio certificati, stringhe di connessione e password, sono sensibili e business critical. È necessario proteggere l'accesso agli insiemi di credenziali delle chiavi consentendo solo le applicazioni e gli utenti autorizzati. Le funzionalità di sicurezza di Azure Key Vault offrono una panoramica del modello di accesso di Key Vault. Illustrano l'autenticazione e l'autorizzazione. Inoltre descrivono come proteggere l'accesso agli insiemi di credenziali delle chiavi.

Queste sono le procedure consigliate per controllare l'accesso alle istanze di Key Vault:

• Bloccare l'accesso alla sottoscrizione, al gruppo di risorse e alle istanze di Key Vault usando il controllo degli accessi in base al ruolo.
• Assegnare ruoli Controllo degli accessi in base al ruolo nell'ambito di Key Vault per applicazioni, servizi e carichi di lavoro che richiedono l'accesso permanente a Key Vault
• Assegnare ruoli Controllo degli accessi in base al ruolo JIT idonei per operatori, amministratori e altri account utente che richiedono l'accesso con privilegi a Key Vault usando Privileged Identity Management (PIM)
  • Richiedere almeno un responsabile approvazione
  • Applicare l'autenticazione a più fattori
• Limitare l'accesso alla rete usando il servizio collegamento privato, firewall e reti virtuali

Attivare la protezione dei dati per l'insieme di credenziali

Attivare la protezione dall'eliminazione per proteggersi da eliminazioni dannose o accidentali dei segreti e dell'insieme di credenziali delle chiavi anche dopo l'attivazione dell'eliminazione temporanea.

Per altre informazioni, vedere Panoramica dell'eliminazione temporanea di Azure Key Vault

Abilitare la registrazione

Attivare la registrazione per l'insieme di credenziali. Inoltre configurare gli avvisi.

Backup

La protezione dall'eliminazione impedisce l'eliminazione accidentale e dannosa degli oggetti dell'insieme di credenziali per un massimo di 90 giorni. Negli scenari in cui non è possibile implementare la protezione dalla rimozione definitiva, è consigliabile eseguire il backup degli oggetti di Key Vault che non possono essere ricreati da altre origini, ad esempio le chiavi di crittografia generate all'interno dell'istanza di Key Vault.

Per altre informazioni sul backup, vedere Backup e ripristino di Azure Key Vault

Soluzioni multi-tenant e Key Vault

Una soluzione multi-tenant si basa su un'architettura in cui i componenti vengono usati per gestire più clienti o tenant. Le soluzioni multi-tenant vengono spesso usate per supportare soluzioni SaaS (Software as a Service). Se si sta creando una soluzione multi-tenant che include Key Vault, vedere Multitenancy e Azure Key Vault.

Domande frequenti:

È possibile usare le assegnazioni con ambito oggetti del modello di autorizzazione Controllo degli accessi in base al ruolo di Key Vault per fornire isolamento per i team delle applicazioni all'interno di Key Vault?

No. Il modello di autorizzazione Controllo degli accessi in base al ruolo di consente di assegnare l'accesso a singoli oggetti in Key Vault all'utente o all'applicazione, ma solo per la lettura. Tutte le operazioni amministrative come il controllo di accesso alla rete, il monitoraggio e la gestione degli oggetti richiedono autorizzazioni a livello di Key Vault. La presenza di una sola istanza di Key Vault per ogni applicazione garantisce l'isolamento sicuro per gli operatori tra i team delle applicazioni.

Passaggi successivi

Altre informazioni sulle procedure consigliate per la gestione delle chiavi:

• Procedure consigliate per la gestione dei segreti in Key Vault
• Procedure consigliate per il modulo di protezione hardware gestito di Azure