Najlepsze rozwiązania dotyczące korzystania z usługi Azure Key Vault

  • Artykuł

Usługa Azure Key Vault chroni klucze szyfrowania i wpisy tajne, takie jak certyfikaty, parametry połączenia i hasła. Ten artykuł pomaga zoptymalizować korzystanie z magazynów kluczy.

Używanie oddzielnych magazynów kluczy

Naszym zaleceniem jest użycie magazynu na aplikację na środowisko (programowanie, przedprodukcyjne i produkcyjne) na region. Szczegółowa izolacja pomaga nie udostępniać wpisów tajnych w aplikacjach, środowiskach i regionach, a także zmniejsza zagrożenie w przypadku naruszenia.

Dlaczego zalecamy oddzielne magazyny kluczy

Magazyny kluczy definiują granice zabezpieczeń dla przechowywanych wpisów tajnych. Grupowanie wpisów tajnych w tym samym magazynie zwiększa promień wybuchu zdarzenia zabezpieczeń, ponieważ ataki mogą mieć dostęp do wpisów tajnych w obawach. Aby ograniczyć dostęp między problemami, należy wziąć pod uwagę wpisy tajne, do których powinna mieć dostęp określona aplikacja, a następnie oddzielić magazyny kluczy na podstawie tej linii. Rozdzielenie magazynów kluczy przez aplikację jest najczęstszą granicą. Jednak granice zabezpieczeń mogą być bardziej szczegółowe dla dużych aplikacji, na przykład dla grupy powiązanych usług.

Kontrolowanie dostępu do magazynu

Klucze szyfrowania i wpisy tajne, takie jak certyfikaty, parametry połączenia i hasła, są wrażliwe i krytyczne dla działania firmy. Musisz zabezpieczyć dostęp do magazynów kluczy, zezwalając tylko autoryzowanym aplikacjom i użytkownikom. Funkcje zabezpieczeń usługi Azure Key Vault zawiera omówienie modelu dostępu Key Vault. Wyjaśniono w nim uwierzytelnianie i autoryzację. W tym artykule opisano również sposób zabezpieczania dostępu do magazynów kluczy.

Zalecenia dotyczące kontrolowania dostępu do magazynu są następujące:

  • Zablokuj dostęp do subskrypcji, grupy zasobów i magazynów kluczy przy użyciu kontroli dostępu opartej na rolach (RBAC).
  • Przypisywanie ról RBAC w zakresie Key Vault dla aplikacji, usług i obciążeń wymagających trwałego dostępu do Key Vault
  • Przypisywanie ról kontroli dostępu opartej na rolach just in time dla operatorów, administratorów i innych kont użytkowników wymagających uprzywilejowanego dostępu do Key Vault przy użyciu Privileged Identity Management (PIM)
    • Wymagaj co najmniej jednego osoby zatwierdzającej
    • Wymuszanie uwierzytelniania wieloskładnikowego
  • Ograniczanie dostępu do sieci za pomocą Private Link, zapory i sieci wirtualnych

Włączanie ochrony danych dla magazynu

Włącz ochronę przed przeczyszczeniem, aby chronić przed złośliwym lub przypadkowym usunięciem wpisów tajnych i magazynu kluczy, nawet po włączeniu usuwania nietrwałego.

Aby uzyskać więcej informacji, zobacz Omówienie usuwania nietrwałego w usłudze Azure Key Vault

Włącz rejestrowanie

Włącz rejestrowanie dla magazynu. Ponadto skonfiguruj alerty.

Backup

Ochrona przed przeczyszczeniem uniemożliwia złośliwe i przypadkowe usunięcie obiektów magazynu przez maksymalnie 90 dni. W scenariuszach, gdy ochrona przed przeczyszczeniem nie jest możliwa, zalecamy tworzenie obiektów magazynu kopii zapasowych, których nie można odtworzyć z innych źródeł, takich jak klucze szyfrowania wygenerowane w magazynie.

Aby uzyskać więcej informacji na temat tworzenia kopii zapasowych, zobacz Tworzenie kopii zapasowej i przywracanie na platformie Azure Key Vault

Rozwiązania wielodostępne i Key Vault

Wielodostępne rozwiązanie jest oparte na architekturze, w której składniki są używane do obsługi wielu klientów lub dzierżaw. Rozwiązania wielodostępne są często używane do obsługi rozwiązań oprogramowania jako usługi (SaaS). Jeśli tworzysz wielodostępne rozwiązanie obejmujące Key Vault, zapoznaj się z artykułem Multitenancy i Azure Key Vault.

Często zadawane pytania:

Czy można użyć Key Vault przypisania modelu uprawnień modelu uprawnień opartej na rolach (RBAC) w celu zapewnienia izolacji dla zespołów aplikacji w ramach Key Vault?

Nie. Model uprawnień RBAC umożliwia przypisywanie dostępu do poszczególnych obiektów w Key Vault do użytkownika lub aplikacji, ale tylko do odczytu. Wszystkie operacje administracyjne, takie jak kontrola dostępu do sieci, monitorowanie i zarządzanie obiektami, wymagają uprawnień na poziomie magazynu. Posiadanie jednego Key Vault na aplikację zapewnia bezpieczną izolację dla operatorów w zespołach aplikacji.

Następne kroki

Dowiedz się więcej o najlepszych rozwiązaniach dotyczących zarządzania kluczami: