Поделиться через


Рекомендации по использованию Azure Key Vault

Azure Key Vault защищает ключи шифрования и секреты, такие как сертификаты, строки подключения и пароли. Эта статья поможет оптимизировать использование хранилищ ключей.

Использование отдельных хранилищ ключей

Мы рекомендуем использовать хранилище для каждого приложения для каждой среды (разработки, предварительной подготовки и рабочей среды) в каждом регионе. Детализация изоляции помогает не предоставлять общий доступ к секретам между приложениями, средами и регионами, а также снизить угрозу при возникновении нарушения.

Почему мы рекомендуем отдельные хранилища ключей

Хранилища ключей определяют границы безопасности для сохраненных секретов. Группирование секретов в одном хранилище увеличивает радиус взрыва события безопасности, так как атаки могут получить доступ к секретам в разных областях. Чтобы устранить проблемы, рассмотрите, к каким секретам должен иметь доступ конкретное приложение, а затем разделите хранилища ключей на основе этого разделения. Разделение хранилищ ключей по приложениям является наиболее распространенной границей. Но границы безопасности могут быть более детализированными для больших приложений, например, для каждой группы связанных служб.

Управляйте доступом к вашему хранилищу

Ключи шифрования и секреты, такие как сертификаты, строки подключения и пароли, важны для бизнеса. Необходимо защитить доступ к хранилищам ключей, разрешая только авторизованным приложениям и пользователям. Функции безопасности Azure Key Vault содержат общие сведения о модели доступа к Key Vault. В нем объясняется проверка подлинности и авторизация. В нем также описывается, как защитить доступ к хранилищам ключей.

Рекомендации по управлению доступом к хранилищу приведены ниже.

  • Блокировка доступа к подписке, группе ресурсов и хранилищам ключей с помощью модели разрешений на основе ролей (RBAC) для плоскости данных.
    • Назначьте роли RBAC в области Key Vault для приложений, служб и рабочих нагрузок, которые требуют длительного доступа к Key Vault
    • Назначение подходящих ролей RBAC для операторов, администраторов и других учетных записей пользователей, требующих привилегированного доступа к Key Vault с помощью управления привилегированными пользователями (PIM)
      • Требовать по крайней мере одного утверждающего
      • Принудительное применение многофакторной проверки подлинности
  • Ограничение доступа к сети с помощью приватного канала, брандмауэра и виртуальных сетей

Это важно

Устаревшая модель разрешений политики доступа имеет известные уязвимости безопасности и отсутствие поддержки Priviliged Identity Management и не следует использовать для критически важных данных и рабочих нагрузок.

Включите защиту данных для хранилища

Включите защиту от очистки для предотвращения вредоносного или случайного удаления секретов и ключевого хранилища даже после включения мягкого удаления.

Дополнительные сведения см. в статье Общие сведения о мягком удалении в Azure Key Vault.

Включите ведение журнала

Включите логирование для вашего хранилища. Кроме того, настройте оповещения.

Резервное копирование

Защита от очистки предотвращает вредоносное и случайное удаление объектов хранилища на срок до 90 дней. В сценариях, когда защита от очистки не является возможной, рекомендуется создавать объекты хранилища резервных копий, которые нельзя воссоздать из других источников, таких как ключи шифрования, созданные в хранилище.

Дополнительные сведения о резервном копировании см. в статье о резервном копировании и восстановлении Azure Key Vault.

Мультитенантные решения и хранилище ключей

Мультитенантное решение основано на архитектуре, в которой компоненты используются для обслуживания нескольких клиентов или арендаторов. Мультитенантные решения часто используются для поддержки решений SaaS (программного обеспечения как услуги). Если вы создаете многотенантное решение, включающее Key Vault, рекомендуется использовать один Key Vault для каждого клиента, чтобы обеспечить изоляцию данных и нагрузок клиентов. Ознакомьтесь с многотенантностью и Azure Key Vault.

Часто задаваемые вопросы:

Могу ли я использовать назначение объектов в модели разрешений на основе ролей (RBAC) в Key Vault, чтобы обеспечить изоляцию для команд разработчиков внутри Key Vault?

Нет. Модель разрешений RBAC позволяет назначать доступ к отдельным объектам в Key Vault пользователю или приложению, но только для чтения. Для любых административных операций, таких как управление доступом к сети, мониторинг и управление объектами, требуются разрешения на уровне хранилища. Наличие одного Key Vault для каждого приложения обеспечивает безопасную изоляцию для операторов между командами приложений.

Дальнейшие шаги

Узнайте больше о лучших практиках управления ключами: