Aanbevolen procedures voor het gebruik van Azure Key Vault
Azure Key Vault beschermt versleutelingssleutels en geheimen, zoals certificaten, verbindingsreeks s en wachtwoorden. Dit artikel helpt u bij het optimaliseren van uw gebruik van sleutelkluizen.
Afzonderlijke sleutelkluizen gebruiken
Onze aanbeveling is om per toepassing per omgeving een kluis te gebruiken (ontwikkeling, preproductie en productie), per regio. Gedetailleerde isolatie helpt u geen geheimen te delen tussen toepassingen, omgevingen en regio's en het vermindert ook de bedreiging als er sprake is van een inbreuk.
Waarom we afzonderlijke sleutelkluizen aanbevelen
Sleutelkluizen definiëren beveiligingsgrenzen voor opgeslagen geheimen. Als u geheimen in dezelfde kluis groepeert, neemt de straalstraal van een beveiligingsgebeurtenis toe, omdat aanvallen mogelijk toegang hebben tot geheimen in verschillende problemen. Als u de toegang tot alle problemen wilt beperken, moet u overwegen tot welke geheimen een specifieke toepassing toegang moet hebben en vervolgens uw sleutelkluizen te scheiden op basis van deze afbakening. Het scheiden van sleutelkluizen per toepassing is de meest voorkomende grens. Beveiligingsgrenzen kunnen echter gedetailleerder zijn voor grote toepassingen, bijvoorbeeld per groep gerelateerde services.
Toegang tot uw kluis beheren
Versleutelingssleutels en geheimen, zoals certificaten, verbindingsreeks s en wachtwoorden, zijn gevoelig en bedrijfskritiek. U moet de toegang tot uw sleutelkluizen beveiligen door alleen geautoriseerde toepassingen en gebruikers toe te staan. Azure Key Vault-beveiligingsfuncties bieden een overzicht van het Key Vault-toegangsmodel. Hierin worden verificatie en autorisatie uitgelegd. Ook wordt beschreven hoe u de toegang tot uw sleutelkluizen kunt beveiligen.
Aanbevelingen voor het beheren van de toegang tot uw kluis zijn als volgt:
- Vergrendel de toegang tot uw abonnement, resourcegroep en sleutelkluizen met behulp van op rollen gebaseerd toegangsbeheer (RBAC) voor het gegevensvlak.
- RBAC-rollen toewijzen op key vault-bereik voor toepassingen, services en workloads waarvoor permanente toegang tot Key Vault is vereist
- Just-In-Time in aanmerking komende RBAC-rollen toewijzen voor operators, beheerders en andere gebruikersaccounts waarvoor bevoegde toegang tot Key Vault is vereist met pim (Privileged Identity Management)
- Ten minste één fiatteur vereisen
- Meervoudige verificatie forceren
- Netwerktoegang beperken met Private Link, firewall en virtuele netwerken
Belangrijk
Het machtigingsmodel voor verouderde toegangsbeleid heeft bekende beveiligingsproblemen en gebrek aan ondersteuning voor Priviliged Identity Management en mag niet worden gebruikt voor kritieke gegevens en workloads.
Gegevensbeveiliging voor uw kluis inschakelen
Schakel beveiliging tegen opschonen in om bescherming te bieden tegen schadelijke of onbedoelde verwijdering van de geheimen en sleutelkluis, zelfs nadat voorlopig verwijderen is ingeschakeld.
Zie Azure Key Vault: overzicht van voorlopig verwijderen voor meer informatie.
Schakel logboekregistratie in
Schakel logboekregistratie in voor uw kluis. Stel ook waarschuwingen in.
Backup
Beveiliging tegen opschonen voorkomt dat de kluisobjecten gedurende maximaal 90 dagen per ongeluk worden verwijderd. In scenario's, wanneer beveiliging tegen opschonen niet mogelijk is, raden we u aan back-upkluisobjecten te maken die niet opnieuw kunnen worden gemaakt vanuit andere bronnen, zoals versleutelingssleutels die in de kluis worden gegenereerd.
Zie Back-up en herstel van Azure Key Vault voor meer informatie over back-ups.
Multitenant-oplossingen en Key Vault
Een multitenant-oplossing is gebouwd op een architectuur waarin onderdelen worden gebruikt om meerdere klanten of tenants te bedienen. Multitenant-oplossingen worden vaak gebruikt ter ondersteuning van SaaS-oplossingen (Software as a Service). Als u een multitenant-oplossing bouwt die Key Vault bevat, is het raadzaam om één Key Vault per klant te gebruiken om isolatie te bieden voor gegevens en workloads van klanten, multitenancy en Azure Key Vault te controleren.
Veelgestelde vragen:
Kan ik RBAC-toewijzingen (Op rollen gebaseerd toegangsbeheer) van Key Vault gebruiken om isolatie te bieden voor toepassingsteams binnen Key Vault?
Nee Met het RBAC-machtigingsmodel kunt u toegang tot afzonderlijke objecten in Key Vault toewijzen aan een gebruiker of toepassing, maar alleen voor lezen. Voor beheerbewerkingen, zoals netwerktoegangsbeheer, bewaking en objectenbeheer, zijn machtigingen op kluisniveau vereist. Eén Key Vault per toepassing biedt veilige isolatie voor operators in toepassingsteams.
Volgende stappen
Meer informatie over aanbevolen procedures voor sleutelbeheer:
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor