Рекомендации по использованию Azure Key Vault

Azure Key Vault обеспечивает защиту ключей шифрования и секретов (например, сертификатов, строк подключения и паролей). Эта статья поможет оптимизировать использование хранилищ ключей.

Использование отдельных хранилищ ключей

Мы рекомендуем использовать хранилище для каждого приложения для каждой среды (разработки, предварительной подготовки и рабочей среды) в каждом регионе. Детализация изоляции помогает не предоставлять общий доступ к секретам между приложениями, средами и регионами, а также снизить угрозу при возникновении нарушения.

Почему мы рекомендуем использовать отдельные хранилища ключей

Хранилища ключей определяют границы безопасности для хранимых секретов. Группировка секретов в одном и том же хранилище увеличивает радиус поражения события безопасности, так как атаки, среди прочего, могут открыть доступ к секретам. Подумайте, к каким секретам должно иметь доступ конкретное приложение, а затем разделите свои хранилища ключей на основе этого разграничения. Разделение хранилищ ключей по приложениям — наиболее распространенный сценарий. Но границы безопасности могут быть более управляемыми для больших приложений, например, для каждой группы связанных служб.

Управление доступом к хранилищу ключей

Ключи шифрования и секреты, такие как сертификаты, строки подключения и пароли, являются конфиденциальными и критически важными для бизнеса данными. Вам нужно защитить доступ к хранилищам ключей, разрешив доступ только авторизованным приложениям и пользователям. Функции безопасности Azure Key Vault — обзор модели доступа Key Vault. Здесь объясняются такие понятия, как проверка подлинности и авторизация, а также описано, как защитить доступ к хранилищам ключей.

Рекомендации по управлению доступом к хранилищу приведены ниже.

• Блокировка доступа к подписке, группе ресурсов и хранилищам ключей с помощью модели разрешений на основе ролей (RBAC) для плоскости данных.
  • Назначение ролей RBAC в области Key Vault для приложений, служб и рабочих нагрузок, требующих постоянного доступа к Key Vault
  • Назначение подходящих ролей RBAC для операторов, администраторов и других учетных записей пользователей, требующих привилегированного доступа к Key Vault с помощью управление привилегированными пользователями (PIM)
    • Требовать по крайней мере одного утверждающего
    • Применение многофакторной проверки подлинности
• Ограничение доступа к сети с помощью Приватный канал, брандмауэра и виртуальных сетей

Внимание

Устаревшая модель разрешений политики доступа имеет известные уязвимости безопасности и отсутствие поддержки Priviliged Identity Management и не следует использовать для критически важных данных и рабочих нагрузок.

Включение защиты данных для хранилища

Включите защиту от очистки, чтобы защититься от вредоносного или случайного удаления секрета или хранилища даже после включения обратимого удаления.

Дополнительные сведения см. в статье Общие сведения об обратимом удалении в Azure Key Vault.

Включите ведение журнала.

Включите ведение журнала для хранилища. Также настройте оповещения.

Резервное копирование

Защита от очистки предотвращает вредоносное и случайное удаление объектов хранилища в течение 90 дней. В сценариях, когда защита от очистки не является возможной, рекомендуется создавать объекты хранилища резервных копий, которые нельзя воссоздать из других источников, таких как ключи шифрования, созданные в хранилище.

Дополнительные сведения о резервном копировании см. в статье о резервном копировании и восстановлении Azure Key Vault.

Мультитенантные решения и Key Vault

Мультитенантное приложение основано на архитектуре, в которой компоненты используются для обслуживания нескольких клиентов или арендаторов. Мультитенантные решения часто используются для поддержки решений SaaS (платформа как услуга). Если вы создаете мультитенантное решение, включающее Key Vault, рекомендуется использовать одно key Vault для каждого клиента для обеспечения изоляции данных и рабочих нагрузок клиентов, просмотрите многотенантность и Azure Key Vault.

Frequently Asked Questions:

Можно ли использовать назначения объектной области модели разрешений управления доступом на основе ролей (RBAC) для обеспечения изоляции для команд приложений в Key Vault?

№ Модель разрешений RBAC позволяет назначать доступ к отдельным объектам в Key Vault пользователю или приложению, но только для чтения. Для любых административных операций, таких как управление доступом к сети, мониторинг и управление объектами, требуются разрешения уровня хранилища. Наличие одного Key Vault для каждого приложения обеспечивает безопасную изоляцию для операторов между командами приложений.

Следующие шаги

Дополнительные сведения о рекомендациях по управлению ключами:

• Рекомендации по управлению секретами в Key Vault
• Рекомендации по управляемому HSM Azure