Рекомендации по использованию Azure Key Vault

  • Статья

Azure Key Vault обеспечивает защиту ключей шифрования и секретов (например, сертификатов, строк подключения и паролей). Эта статья поможет оптимизировать использование хранилищ ключей.

Использование отдельных хранилищ ключей

Мы рекомендуем использовать отдельное хранилище для каждого приложения в каждой среде (разработка, подготовка к производству и производство) в каждом регионе. Детализированная изоляция позволяет не предоставлять общий доступ к секретам в приложениях, средах и регионах, а также снизить угрозу в случае нарушения безопасности.

Почему мы рекомендуем использовать отдельные хранилища ключей

Хранилища ключей определяют границы безопасности для хранимых секретов. Группировка секретов в одном и том же хранилище увеличивает радиус поражения события безопасности, так как атаки, среди прочего, могут открыть доступ к секретам. Подумайте, к каким секретам должно иметь доступ конкретное приложение, а затем разделите свои хранилища ключей на основе этого разграничения. Разделение хранилищ ключей по приложениям — наиболее распространенный сценарий. Но границы безопасности могут быть более управляемыми для больших приложений, например, для каждой группы связанных служб.

Управление доступом к хранилищу ключей

Ключи шифрования и секреты, такие как сертификаты, строки подключения и пароли, являются конфиденциальными и критически важными для бизнеса данными. Вам нужно защитить доступ к хранилищам ключей, разрешив доступ только авторизованным приложениям и пользователям. Функции безопасности Azure Key Vault — обзор модели доступа Key Vault. Здесь объясняются такие понятия, как проверка подлинности и авторизация, а также описано, как защитить доступ к хранилищам ключей.

Ниже приведены рекомендации по управлению доступом к хранилищу.

  • Блокировка доступа к подписке, группе ресурсов и хранилищам ключей с помощью управления доступом на основе ролей (RBAC).
  • Назначение ролей RBAC на Key Vault область для приложений, служб и рабочих нагрузок, требующих постоянного доступа к Key Vault
  • Назначение JIT-ролей RBAC для операторов, администраторов и других учетных записей пользователей, которым требуется привилегированный доступ к Key Vault с помощью управление привилегированными пользователями (PIM)
    • Требовать по крайней мере одного утверждающего
    • Применение многофакторной проверки подлинности
  • Ограничение доступа к сети с помощью Приватный канал, брандмауэра и виртуальных сетей

Включение защиты данных для хранилища

Включите защиту от очистки, чтобы защититься от вредоносного или случайного удаления секрета или хранилища даже после включения обратимого удаления.

Дополнительные сведения см. в статье Общие сведения об обратимом удалении в Azure Key Vault

Включите ведение журнала.

Включите ведение журнала для хранилища. Также настройте оповещения.

Backup

Защита от очистки предотвращает вредоносное и случайное удаление объектов хранилища в течение 90 дней. В сценариях, когда защита от очистки невозможна, рекомендуется использовать объекты хранилища резервных копий, которые нельзя воссоздать из других источников, таких как ключи шифрования, созданные в хранилище.

Дополнительные сведения о резервном копировании см. в разделе Резервное копирование и восстановление Azure Key Vault

Мультитенантные решения и Key Vault

Мультитенантное приложение основано на архитектуре, в которой компоненты используются для обслуживания нескольких клиентов или арендаторов. Мультитенантные решения часто используются для поддержки решений SaaS (платформа как услуга). Если вы создаете мультитенантное решение, включающее Key Vault, ознакомьтесь со статьей Мультитенантность и Azure Key Vault.

Часто задаваемые вопросы.

Можно ли использовать назначения объектной области модели разрешений управления доступом на основе ролей (RBAC) для обеспечения изоляции для команд приложений в Key Vault?

Нет. Модель разрешений RBAC позволяет назначать доступ к отдельным объектам в Key Vault пользователю или приложению, но только для чтения. Для любых административных операций, таких как управление доступом к сети, мониторинг и управление объектами, требуются разрешения на уровне хранилища. Наличие одного Key Vault для каждого приложения обеспечивает безопасную изоляцию для операторов в командах приложений.

Дальнейшие действия

Дополнительные сведения о рекомендациях по управлению ключами: