Condividi tramite


Procedure consigliate per la gestione dei file segreti in Key Vault

Azure Key Vault consente di archiviare in modo sicuro le credenziali del servizio o dell'applicazione, ad esempio password e chiavi di accesso come segreti. Tutti i segreti nell'insieme di credenziali delle chiavi vengono crittografati con una chiave software. Quando si usa Key Vault, non è più necessario archiviare le informazioni di sicurezza nelle applicazioni. Il fatto di non dover archiviare le informazioni di sicurezza nelle applicazioni elimina la necessità di inserirle nel codice.

Alcuni esempi di segreti da archiviare in Key Vault:

  • Segreti dell'applicazione client
  • Stringhe di connessione
  • Password
  • Chiavi di accesso (Cache Redis, Hub eventi di Azure, Azure Cosmos DB)
  • Chiavi SSH

Qualsiasi altra informazione sensibile, ad esempio indirizzi IP, nomi di servizio e altre impostazioni di configurazione, deve essere archiviata in Configurazione app di Azure anziché in Key Vault.

Ogni singolo insieme di credenziali delle chiavi definisce i limiti di sicurezza per i segreti. Per un singolo insieme di credenziali delle chiavi per applicazione, per area, per ambiente, è consigliabile fornire un isolamento granulare dei segreti per un'applicazione.

Per altre informazioni sulle procedure consigliate per Key Vault, vedere Procedure consigliate per l'uso di Key Vault.

Configurazione e archiviazione

Archiviare le informazioni sulle credenziali necessarie per accedere al database o al servizio nel valore del segreto. Nel caso di credenziali composte come nome utente/password, può essere archiviato come stringa di connessione o oggetto JSON. Altre informazioni necessarie per la gestione devono essere archiviate nei tag, ad esempio la configurazione della rotazione.

Per altre informazioni sugli attributi dei segreti, vedere Informazioni sui segreti di Azure Key Vault.

Rotazione dei segreti

I segreti vengono spesso archiviati nella memoria dell'applicazione come variabili di ambiente o impostazioni di configurazione per l'intero ciclo di vita dell'applicazione, che li rende sensibili all'esposizione indesiderata. Poiché i segreti sono sensibili alla perdita o all'esposizione, è importante ruotarli spesso, almeno ogni 60 giorni.

Per altre informazioni sul processo di rotazione dei segreti, vedere Automatizzare la rotazione di un segreto per le risorse con due set di credenziali di autenticazione.

Accesso e isolamento rete

È possibile ridurre l'esposizione degli insiemi di credenziali specificando gli indirizzi IP che possono accedervi. Configurare il firewall per consentire alle applicazioni e ai servizi correlati di accedere ai segreti nell'insieme di credenziali per ridurre la capacità degli utenti malintenzionati di accedere ai segreti.

Per altre informazioni sulla sicurezza delle rete, vedere Configurare le impostazioni di rete di Azure Key Vault.

Inoltre, le applicazioni devono seguire l'accesso con privilegi minimi solo avendo accesso ai segreti di lettura. L'accesso ai segreti può essere controllato con i criteri di accesso o con il controllo degli accessi in base al ruolo di Azure.

Per altre informazioni sul controllo di accesso in Azure Key Vault, vedere:

Limiti del servizio e memorizzazione nella cache

Key Vault è stato originariamente creato con i limiti di limitazione delle richieste specificati in Limiti dei servizi Azure Key Vault . Per ottimizzare la velocità effettiva, ecco due procedure consigliate:

  • Memorizzare nella cache i segreti nell'applicazione per almeno otto ore.
  • Implementare la logica di ripetizione dei tentativi di back-off esponenziale per gestire gli scenari in cui vengono superati i limiti del servizio.

Per altre informazioni sulle linee guida sulla limitazione delle richieste, vedere Informazioni sui limiti di Azure Key Vault.

Monitoraggio

Per monitorare l'accesso ai segreti e al relativo ciclo di vita, attivare la registrazione di Key Vault. Usare Monitoraggio di Azure per monitorare tutte le attività dei segreti in tutti gli insiemi di credenziali in un'unica posizione. In alternativa, usare Griglia di eventi di Azure per monitorare il ciclo di vita dei segreti, perché offre un'integrazione semplice con App per la logica di Azure e Funzioni di Azure.

Per altre informazioni, vedi:

Backup e protezione dalla rimozione definitiva

Attivare la protezione dalla rimozione definitiva per evitare l'eliminazione accidentale o dannosa dei segreti. Negli scenari in cui la protezione dall'eliminazione non è una possibile opzione, è consigliabile eseguire il backup dei segreti che non possono essere ricreati da altre origini.

Altre informazioni