Geheimen in Key Vault
Geheimen zijn geen geheimen als ze met iedereen worden gedeeld. Als u vertrouwelijke items opslaat, zoals verbindingsreeks s, beveiligingstokens, certificaten en wachtwoorden in uw code, nodigt u iemand uit om ze mee te nemen en te gebruiken voor iets anders dan waarvoor u ze hebt bedoeld. Zelfs het opslaan van dit soort gegevens in uw webconfiguratie is een slecht idee; U staat in wezen iedereen toe die toegang heeft tot de broncode of webservertoegang tot uw persoonlijke gegevens.
Het is in alle gevallen beter om deze geheime gegevens op te slaan in Azure Key Vault.
Wat is Azure Key Vault?
Azure Key Vault is een archief voor geheimen: een centrale cloudservice voor het opslaan van toepassingsgeheimen. Key Vault helpt uw vertrouwelijke gegevens te beschermen door toepassingsgeheimen te bewaren op één centrale locatie met toegangsbeveiliging, machtigingenbeheer en logboekregistratie voor gebruikerstoegang.
Geheimen worden opgeslagen in afzonderlijke kluizen, waarbij iedere kluis een eigen configuratie- en beveiligingsbeleid heeft om de toegang te beheren. Vervolgens kunt u toegang krijgen tot uw gegevens via een REST-API of via een client-SDK, die voor de meeste talen beschikbaar zijn.
Belangrijk
Key Vault is ontworpen voor het opslaan van configuratiegeheimen voor servertoepassingen. Het is niet bedoeld voor het opslaan van gegevens die behoren tot gebruikers van uw app, en mag niet worden gebruikt in het clientonderdeel van een app. Dit wordt weerspiegeld in de prestatiekenmerken, de API en het kostenmodel.
Gebruikersgegevens moeten elders worden opgeslagen, bijvoorbeeld in een Azure SQL-database met Transparent Data Encryption (transparante gegevensversleuteling) of een opslagaccount met Storage Service Encryption (versleuteling voor opslagservice). U kunt geheimen bewaren die uw toepassing gebruikt voor toegang tot deze gegevensarchieven in Key Vault.
Waarom Key Vault gebruiken voor mijn geheimen?
Sleutelbeheer en het opslaan van geheimen kan ingewikkeld zijn en gevoelig voor fouten als dit handmatig gebeurt. Het handmatig roteren van certificaten betekent mogelijk een paar uur of dagen zonder. Zoals eerder vermeld, betekent het opslaan van verbindingsreeksen in een configuratiebestand of code-opslagplaats dat iemand anders uw referenties kan stelen.
Met Key Vault kunnen gebruikers verbindingsreeksen, geheimen, wachtwoorden, certificaten, toegangsbeleid, bestandsvergrendelingen (om items alleen-lezen te maken in Azure) en automatiseringsscripts veilig opslaan. Het registreert ook de toegang en activiteit en stelt u in staat om toegangsbeheer (IAM) in uw abonnement te bewaken. Het bevat ook diagnostische gegevens, metrische gegevens, waarschuwingen en hulpprogramma's voor probleemoplossing om ervoor te zorgen dat u de toegang hebt die u nodig hebt.
Zie Geheimen in uw server-apps beheren met Azure Key Vault voor meer informatie over het gebruik van Azure Key Vault.
Samenvatting
Diefstal van referenties, handmatige sleutelrotatie en certificaatvernieuwing kan een ding van het verleden zijn als u uw geheimen goed beheert met behulp van Azure Key Vault.