Секреты в Key Vault
Секреты не являются секретами, если они совместно используются всем пользователям. Хранение конфиденциальных элементов, таких как строка подключения, маркеры безопасности, сертификаты и пароли в коде, просто приглашает кого-то принять и использовать их для чего-то другого, кроме того, для чего они предназначены. Даже хранение таких данных в вашей веб-конфигурации является плохой идеей; Вы, по сути, разрешаете любому, кто имеет доступ к исходному коду или веб-серверу доступа к вашим частным данным.
Поэтому следует всегда помещать эти секретные коды в Azure Key Vault.
Что такое Azure Key Vault?
Azure Key Vault — это хранилище секретов: облачная служба для централизованного хранения секретных данных приложений. Key Vault позволяет предотвратить возникновение описанных выше ситуаций благодаря хранению секретов приложения в одном месте и предоставлению безопасного доступа, возможностей управления разрешениями и ведения журнала доступа.
Секреты хранятся в отдельных хранилищах, каждое из которых содержит собственную политику конфигурации и безопасности для управления доступом. Доступ к данным можно получить через REST API или с помощью клиентского пакета SDK, доступного для большинства языков.
Важно!
Решение Key Vault предназначено для хранения секретов конфигурации серверных приложений. Оно не предназначено для хранения данных, принадлежащих пользователям, и его не следует применять в клиентской части приложения. Это отражается в его характеристиках производительности, API и модели затрат.
Данные пользователей следует хранить в других местах, например в базе данных SQL Azure с прозрачным шифрованием данных или в учетной записи хранения с Шифрованием службы хранилища. Вы можете хранить секреты, используемые приложением для доступа к этим хранилищам данных в Key Vault.
Зачем использовать Key Vault для секретов
Управлять ключами и хранить секретные данные вручную — сложно и ненадежно. Смена сертификатов вручную означает, что потенциально не требуется несколько часов или дней. Как упоминалось выше, хранение строк подключения в файле конфигурации или репозитории кода — хорошая возможность для кого-то похитить ваши учетные данные.
Key Vault позволяет пользователям хранить строки подключения, секреты, пароли, сертификаты, политики доступа, блокировки файлов (сделав элементы доступными только для чтения в Azure) и сценарии автоматизации. Он также регистрирует доступ и действия и позволяет отслеживать управление доступом (IAM) в вашей подписке. Он также имеет диагностика, метрики, оповещения и средства устранения неполадок, чтобы обеспечить необходимый доступ.
Дополнительные сведения об использовании Azure Key Vault см. в статье Управление секретами в серверных приложениях с помощью Azure Key Vault.
Итоги
Кража учетных данных, смена ключей вручную и продление сертификатов могут быть в прошлом, если вы хорошо управляете секретами с помощью Azure Key Vault.