Metodtips för att använda Azure Key Vault

  • Artikel

Azure Key Vault skyddar krypteringsnycklar och hemligheter som certifikat, anslutningssträngar och lösenord. Den här artikeln hjälper dig att optimera din användning av nyckelvalv.

Använda separata nyckelvalv

Vår rekommendation är att använda ett valv per program per miljö (utveckling, förproduktion och produktion) per region. Detaljerad isolering hjälper dig att inte dela hemligheter mellan program, miljöer och regioner, och det minskar även hotet om det uppstår ett intrång.

Därför rekommenderar vi separata nyckelvalv

Nyckelvalv definierar säkerhetsgränser för lagrade hemligheter. Att gruppera hemligheter i samma valv ökar explosionsradien för en säkerhetshändelse eftersom attacker kan komma åt hemligheter över olika problem. För att minska åtkomsten mellan olika problem bör du överväga vilka hemligheter ett visst program ska ha åtkomst till och sedan separera dina nyckelvalv baserat på den här avgränsningen. Att separera nyckelvalv efter program är den vanligaste gränsen. Säkerhetsgränser kan dock vara mer detaljerade för stora program, till exempel per grupp med relaterade tjänster.

Kontrollera åtkomsten till ditt valv

Krypteringsnycklar och hemligheter som certifikat, anslutningssträngar och lösenord är känsliga och affärskritiska. Du måste skydda åtkomsten till dina nyckelvalv genom att endast tillåta auktoriserade program och användare. Säkerhetsfunktioner i Azure Key Vault ger en översikt över Key Vault-åtkomstmodellen. Den förklarar autentisering och auktorisering. Den beskriver också hur du skyddar åtkomsten till dina nyckelvalv.

Rekommendationer för att kontrollera åtkomsten till ditt valv är följande:

  • Lås åtkomsten till din prenumeration, resursgrupp och nyckelvalv med hjälp av rollbaserad åtkomstkontroll (RBAC).
  • Tilldela RBAC-roller i Key Vault omfång för program, tjänster och arbetsbelastningar som kräver beständig åtkomst till Key Vault
  • Tilldela just-in-time-berättigade RBAC-roller för operatörer, administratörer och andra användarkonton som kräver privilegierad åtkomst till Key Vault med hjälp av Privileged Identity Management (PIM)
    • Kräv minst en godkännare
    • Använda multifaktorautentisering
  • Begränsa nätverksåtkomst med Private Link, brandvägg och virtuella nätverk

Aktivera dataskydd för ditt valv

Aktivera rensningsskydd för att skydda mot skadlig eller oavsiktlig borttagning av hemligheter och nyckelvalv även efter att mjuk borttagning har aktiverats.

Mer information finns i Översikt över mjuk borttagning i Azure Key Vault

Aktivera loggning

Aktivera loggning för valvet. Konfigurera också aviseringar.

Backup

Rensningsskydd förhindrar skadlig och oavsiktlig borttagning av valvobjekt i upp till 90 dagar. I scenarier, när rensningsskydd inte är ett möjligt alternativ, rekommenderar vi säkerhetskopiering av valvobjekt som inte kan återskapas från andra källor som krypteringsnycklar som genereras i valvet.

Mer information om säkerhetskopiering finns i Azure Key Vault säkerhetskopiering och återställning

Lösningar för flera klientorganisationer och Key Vault

En lösning för flera klientorganisationer bygger på en arkitektur där komponenter används för att betjäna flera kunder eller klientorganisationer. Lösningar för flera klientorganisationer används ofta för att stödja SaaS-lösningar (programvara som en tjänst). Om du skapar en lösning för flera klientorganisationer som innehåller Key Vault läser du Avsnittet om flera klientorganisationer och Azure Key Vault.

Vanliga frågor och svar:

Kan jag använda Key Vault tilldelningar av rollbaserad åtkomstkontroll (RBAC) för objektomfång för att isolera programteam inom Key Vault?

Nej. MED RBAC-behörighetsmodellen kan du tilldela åtkomst till enskilda objekt i Key Vault till användare eller program, men bara för läsning. Alla administrativa åtgärder som åtkomstkontroll för nätverk, övervakning och objekthantering kräver behörigheter på valvnivå. Att ha ett Key Vault per program ger säker isolering för operatörer i olika programteam.

Nästa steg

Läs mer om metodtips för nyckelhantering: