Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Key Vault chroni klucze szyfrowania i wpisy tajne, takie jak certyfikaty, parametry połączenia i hasła. Ten artykuł pomaga zoptymalizować korzystanie z baz kluczy.
Używanie oddzielnych magazynów kluczy
Naszym zaleceniem jest użycie skarbca dla każdej aplikacji i każde środowisko (deweloperskie, przedprodukcyjne i produkcyjne) w każdym regionie. Szczegółowa izolacja pomaga nie udostępniać sekretów między aplikacjami, środowiskami i regionami, a także zmniejsza zagrożenie w przypadku naruszenia zabezpieczeń.
Dlaczego zalecamy oddzielne repozytoria kluczy
Sejfy kluczy definiują granice zabezpieczeń dla przechowywanych sekretów. Grupowanie sekretów w tym samym skarbcu zwiększa promień wybuchu zdarzenia zabezpieczeń, ponieważ ataki mogą mieć dostęp do sekretów w różnych obszarach. Aby ograniczyć dostęp w różnych aspektach, należy wziąć pod uwagę tajemnice, do których powinna mieć dostęp konkretna aplikacja, a następnie rozdzielić magazyny kluczy na podstawie tego podziału. Rozdzielenie magazynów kluczy według aplikacji jest najczęściej spotykaną granicą. Jednak granice zabezpieczeń mogą być bardziej szczegółowe dla dużych aplikacji, na przykład dla grupy powiązanych usług.
Kontroluj dostęp do swojego skarbca
Klucze szyfrowania i wpisy tajne, takie jak certyfikaty, parametry połączenia i hasła, są wrażliwe i krytyczne dla działania firmy. Musisz zabezpieczyć dostęp do magazynów kluczy, zezwalając tylko autoryzowanym aplikacjom i użytkownikom. Funkcje zabezpieczeń usługi Azure Key Vault udostępniają omówienie modelu dostępu usługi Key Vault. Wyjaśniono w nim uwierzytelnianie i autoryzację. Opisano również, jak zabezpieczyć dostęp do magazynów kluczy.
Zalecenia dotyczące kontrolowania dostępu do sejfu są następujące:
- Zabezpiecz dostęp do subskrypcji, grupy zasobów oraz skrytek kluczy, używając modelu uprawnień zarządzania dostępem opartym na rolach (RBAC) dla płaszczyzny danych.
- Przypisywanie ról RBAC w zakresie usługi Key Vault dla aplikacji, usług i obciążeń wymagających trwałego dostępu do usługi Key Vault
- Przypisywanie na czas ról RBAC dla kont operatorów, administratorów i innych użytkowników wymagających uprzywilejowanego dostępu do usługi Key Vault przy użyciu usługi Privileged Identity Management (PIM)
- Wymagaj co najmniej jednego zatwierdzającego
- Wymuszanie uwierzytelniania wieloskładnikowego
- Ogranicz dostęp do sieci przy użyciu usługi Private Link, zapory i sieci wirtualnych
Ważne
Model uprawnień starszych zasad dostępu ma znane luki w zabezpieczeniach oraz brak obsługi Zarządzania Tożsamością Uprzywilejowanego. Nie powinien być używany do przetwarzania danych krytycznych i obciążeń.
Włączanie ochrony danych dla magazynu
Włącz ochronę przed trwałym usunięciem, aby chronić przed złośliwym lub przypadkowym usunięciem tajemnic i skarbca kluczy, nawet gdy włączone jest miękkie usuwanie.
Aby uzyskać więcej informacji, zobacz Omówienie funkcji miękkiego usuwania w Azure Key Vault.
Włącz rejestrowanie
Włącz rejestrowanie dla skarbca. Ponadto skonfiguruj alerty.
Kopia zapasowa
Ochrona przed przeczyszczeniem uniemożliwia złośliwe i przypadkowe usunięcie obiektów magazynu przez maksymalnie 90 dni. W scenariuszach, gdy ochrona przed przeczyszczeniem nie jest możliwa, zalecamy tworzenie obiektów magazynu kopii zapasowych, których nie można odtworzyć z innych źródeł, takich jak klucze szyfrowania generowane w magazynie.
Aby uzyskać więcej informacji na temat tworzenia kopii zapasowych, zobacz Tworzenie i przywracanie kopii zapasowej usługi Azure Key Vault.
Rozwiązania wielodostępne i usługa Key Vault
Rozwiązanie wielodzietne jest oparte na architekturze, w której składniki są używane do obsługi wielu klientów lub najemców. Rozwiązania wielozasobowe często wspierają oprogramowanie jako usługę (SaaS). Jeśli tworzysz wielodostępne rozwiązanie obejmujące usługę Key Vault, zaleca się użycie jednej usługi Key Vault dla każdego klienta w celu zapewnienia izolacji danych i obciążeń klientów, zapoznaj się z artykułem Multitenancy i Azure Key Vault.
Często zadawane pytania:
Czy można używać przypisywania zakresu obiektów w modelu opartego na rolach (RBAC) usługi Key Vault, aby zapewnić izolację dla zespołów aplikacji w usłudze Key Vault?
Nie. Model uprawnień RBAC umożliwia przypisanie dostępu do poszczególnych obiektów w usłudze Key Vault do użytkownika lub aplikacji, ale tylko do odczytu. Wszystkie operacje administracyjne, takie jak kontrola dostępu do sieci, monitorowanie i zarządzanie obiektami, wymagają uprawnień na poziomie magazynu. Posiadanie jednej usługi Key Vault na aplikację zapewnia bezpieczną izolację operatorów w zespołach aplikacji.
Następne kroki
Dowiedz się więcej o najlepszych praktykach dotyczących zarządzania kluczami: