Wpisy tajne w usłudze Key Vault
Wpisy tajne nie są wpisami tajnymi, jeśli są udostępniane wszystkim. Przechowywanie poufnych elementów, takich jak parametry połączenia, tokeny zabezpieczające, certyfikaty i hasła w kodzie, to po prostu zapraszanie kogoś do ich podjęcia i używanie ich do czegoś innego niż to, co ich zamierzyłeś. Nawet przechowywanie tego rodzaju danych w konfiguracji internetowej jest złym pomysłem; Zasadniczo zezwalasz każdemu, kto ma dostęp do kodu źródłowego lub serwera internetowego, do prywatnych danych.
Wpisy tajne należy zawsze umieszczać w usłudze Azure Key Vault.
Co to jest usługa Azure Key Vault?
Usługa Azure Key Vault jest magazynem wpisów tajnych: scentralizowaną usługą w chmurze do przechowywania wpisów tajnych aplikacji. Usługa Key Vault przechowuje wpisy tajne aplikacji w jednej centralnej lokalizacji oraz umożliwia bezpieczny dostęp, kontrolę uprawnień oraz rejestrowania dostępu. Wszystko to zapewnia bezpieczeństwo poufnych danych.
Wpisy tajne, razem z konfiguracjami i zasadami zabezpieczeń umożliwiającymi kontrolę dostępu, są przechowywane w poszczególnych magazynach. Dostęp do danych można uzyskać za pomocą interfejsu API REST lub zestawu SDK klienta, dostępnego dla większości języków.
Ważne
Usługa Key Vault została zaprojektowana do przechowywania wpisów tajnych konfiguracji dla aplikacji serwerowych. Nie jest przeznaczona do przechowywania danych należących do użytkowników aplikacji i nie powinna być używana w części aplikacji po stronie klienta. Znajduje to odzwierciedlenie w charakterystyce jej wydajności, interfejsie API i modelu kosztów.
Dane użytkowników powinny być przechowywane gdzie indziej, na przykład w usłudze Azure SQL Database z funkcją Transparent Data Encryption lub na koncie magazynu z szyfrowaniem usługi Storage. Wpisy tajne używane przez aplikację można przechowywać w celu uzyskania dostępu do tych magazynów danych w usłudze Key Vault.
Dlaczego warto przechowywać wpisy tajne w usłudze Key Vault
Ręczne zarządzanie kluczami i przechowywanie wpisów tajnych może być skomplikowane i podatne na błędy. Rotacja certyfikatów ręcznie oznacza, że potencjalnie będzie bez kilku godzin lub dni. Jak wspomniano wcześniej, przechowywanie parametrów połączenia w pliku konfiguracji lub repozytorium kodu umożliwia intruzowi kradzież poświadczeń.
Usługa Key Vault pozwala użytkownikom przechowywać parametry połączenia, wpisy tajne, hasła, certyfikaty, zasady dostępu, blokady plików (umożliwiające konfigurowanie elementów na platformie Azure jako tylko do odczytu) i skrypty automatyzacji. Rejestruje również dostęp i aktywność oraz umożliwia monitorowanie kontroli dostępu (IAM) w ramach subskrypcji. Ma on również narzędzia do diagnostyki, metryk, alertów i rozwiązywania problemów, aby mieć pewność, że masz potrzebny dostęp.
Więcej informacji o korzystaniu z usługi Azure Key Vault znajdziesz w temacie Zarządzanie wpisami tajnymi w aplikacjach serwerowych za pomocą usługi Azure Key Vault.
Podsumowanie
Kradzież poświadczeń, ręczna rotacja kluczy i odnawianie certyfikatu mogą być przeszłością, jeśli dobrze zarządzasz wpisami tajnymi przy użyciu usługi Azure Key Vault.