Aanbevolen procedures voor geheimenbeheer in Key Vault
Met Azure Key Vault kunt u veilig service- of toepassingsreferenties opslaan, zoals wachtwoorden en toegangssleutels als geheimen. Alle geheimen in uw sleutelkluis worden versleuteld met een softwaresleutel. Wanneer u Key Vault gebruikt, hoeft u geen beveiligingsgegevens meer op te slaan in uw toepassingen. Doordat u geen beveiligingsinformatie in toepassingen hoeft op te slaan elimineert u de noodzaak om deze informatie onderdeel van de code te maken.
Voorbeelden van geheimen die moeten worden opgeslagen in Key Vault:
- Clienttoepassingsgeheimen
- Verbindingsreeksen
- Wachtwoords
- Toegangssleutels (Redis Cache, Azure Event Hubs, Azure Cosmos DB)
- SSH-sleutels
Alle andere gevoelige informatie, zoals IP-adressen, servicenamen en andere configuratie-instellingen, moet worden opgeslagen in Azure-app Configuratie in plaats van in Key Vault.
Elke afzonderlijke sleutelkluis definieert beveiligingsgrenzen voor geheimen. Voor één sleutelkluis per toepassing, per regio, per omgeving, raden we u aan om gedetailleerde isolatie van geheimen voor een toepassing te bieden.
Configuratie en opslag
Sla referentiegegevens op die vereist zijn voor toegang tot de database of service in geheime waarde. In het geval van samengestelde referenties, zoals gebruikersnaam/wachtwoord, kan deze worden opgeslagen als een verbindingsreeks- of JSON-object. Andere informatie die nodig is voor beheer, moet worden opgeslagen in tags, bijvoorbeeld rotatieconfiguratie.
Zie Over Azure Key Vault-geheimen voor meer informatie over geheimen.
Geheimen rouleren
Geheimen worden vaak opgeslagen in het toepassingsgeheugen als omgevingsvariabelen of configuratie-instellingen voor de volledige levenscyclus van toepassingen, waardoor ze gevoelig zijn voor ongewenste blootstelling. Omdat geheimen gevoelig zijn voor lekkage of blootstelling, is het belangrijk om ze vaak, ten minste om de 60 dagen, te roteren.
Zie Het rouleren van geheimen automatiseren voor resources met twee sets verificatiereferenties voor meer informatie over het roulatieproces van geheimen.
Toegang en netwerkisolatie
U kunt de blootstelling van uw kluizen verminderen door op te geven welke IP-adressen toegang tot deze kluizen hebben. Configureer uw firewall om alleen toepassingen en gerelateerde services toegang te geven tot geheimen in de kluis, zodat aanvallers minder toegang hebben tot geheimen.
Zie Azure Key Vault-netwerkinstellingen configureren voor meer informatie over netwerkbeveiliging.
Bovendien moeten toepassingen de minst bevoegde toegang volgen door alleen toegang te hebben tot leesgeheimen. Toegang tot geheimen kan worden beheerd met toegangsbeleid of met op rollen gebaseerd toegangsbeheer van Azure.
Zie voor meer informatie over toegangsbeheer in Azure Key Vault:
- Toegang bieden tot Key Vault-sleutels, -certificaten en -geheimen met op rollen gebaseerd toegangsbeheer van Azure
- Een Key Vault-toegangsbeleid toewijzen
Servicelimieten en caching
Key Vault is oorspronkelijk gemaakt met beperkingslimieten die zijn opgegeven in azure Key Vault-servicelimieten. Hier volgen twee aanbevolen aanbevolen procedures om uw doorvoersnelheden te maximaliseren:
- Cachegeheimen in uw toepassing gedurende ten minste acht uur.
- Implementeer exponentieel uitstellogica om scenario's te verwerken wanneer servicelimieten worden overschreden.
Zie de richtlijnen voor beperking van Azure Key Vault voor meer informatie over beperkingsrichtlijnen.
Controleren
Als u de toegang tot uw geheimen en hun levenscyclus wilt bewaken, schakelt u Key Vault-logboekregistratie in. Gebruik Azure Monitor om alle geheimenactiviteiten in al uw kluizen op één plek te bewaken. Of gebruik Azure Event Grid om de levenscyclus van geheimen te bewaken, omdat het eenvoudig is te integreren met Azure Logic Apps en Azure Functions.
Zie voor meer informatie:
- Azure Key Vault als Event Grid-bron
- Logboekregistratie van Azure Key Vault
- Bewaking en waarschuwingen voor Azure Key Vault
Back-up- en opschoningsbeveiliging
Schakel beveiliging tegen opschonen in om bescherming te bieden tegen schadelijke of onbedoelde verwijdering van de geheimen. In scenario's waarin beveiliging tegen opschonen niet mogelijk is, raden we back-upgeheimen aan, die niet opnieuw kunnen worden gemaakt vanuit andere bronnen.