Metodtips för att använda Azure Key Vault

Azure Key Vault skyddar krypteringsnycklar och hemligheter som certifikat, anslutningssträngar och lösenord. Den här artikeln hjälper dig att optimera din användning av nyckelvalv.

Använda separata nyckelvalv

Vår rekommendation är att använda ett valv per program per miljö (utveckling, förproduktion och produktion) per region. Detta hjälper dig att inte dela hemligheter i miljöer och regioner. Det kommer också att minska hotet i händelse av en överträdelse.

Därför rekommenderar vi separata nyckelvalv

Nyckelvalv definierar säkerhetsgränser för lagrade hemligheter. Att gruppera hemligheter i samma valv ökar explosionsradien för en säkerhetshändelse eftersom attacker kan komma åt hemligheter över problem. Om du vill minska åtkomsten mellan olika problem bör du fundera på vilka hemligheter ett visst program ska ha åtkomst till och sedan separera dina nyckelvalv baserat på den här avgränsningen. Att separera nyckelvalv efter program är den vanligaste gränsen. Säkerhetsgränser kan dock vara mer detaljerade för stora program, till exempel per grupp med relaterade tjänster.

Kontrollera åtkomsten till valvet

Krypteringsnycklar och hemligheter som certifikat, anslutningssträngar och lösenord är känsliga och affärskritiska. Du måste skydda åtkomsten till dina nyckelvalv genom att endast tillåta auktoriserade program och användare. Azure Key Vault säkerhetsfunktioner ger en översikt över Key Vault-åtkomstmodellen. Det förklarar autentisering och auktorisering. Den beskriver också hur du skyddar åtkomsten till dina nyckelvalv.

Förslag på att styra åtkomsten till valvet är följande:

  • Lås åtkomsten till din prenumeration, resursgrupp och nyckelvalv (rollbaserad åtkomstkontroll (RBAC)).
  • Skapa åtkomstprinciper för varje valv.
  • Använd principen om åtkomst med lägsta behörighet för att bevilja åtkomst.
  • Aktivera tjänstslutpunkter för brandvägg och virtuellt nätverk.

Aktivera dataskydd för valvet

Aktivera rensningsskydd för att skydda mot skadlig eller oavsiktlig borttagning av hemligheter och nyckelvalv även när mjuk borttagning har aktiverats.

Mer information finns i Översikt över mjuk borttagning i Azure Key Vault

Aktivera loggning

Aktivera loggning för valvet. Konfigurera även aviseringar.

Backup

Rensningsskydd förhindrar skadlig och oavsiktlig borttagning av valvobjekt i upp till 90 dagar. I scenarier när rensningsskydd inte är ett möjligt alternativ rekommenderar vi säkerhetskopiering av valvobjekt, som inte kan återskapas från andra källor som krypteringsnycklar som genereras i valvet.

Mer information om säkerhetskopiering finns i Azure Key Vault säkerhetskopiering och återställning

Lösningar för flera klientorganisationer och Key Vault

En lösning för flera klienter bygger på en arkitektur där komponenter används för att betjäna flera kunder eller klienter. Lösningar med flera klientorganisationer används ofta för att stödja SaaS-lösningar (programvara som en tjänst). Om du skapar en lösning för flera klientorganisationer som innehåller Key Vault läser du Flera klientorganisationer och Azure Key Vault.

Vanliga frågor och svar:

Kan jag använda Key Vault rollbaserad åtkomstkontroll (RBAC) behörighetsmodell för objektomfångstilldelningar för att tillhandahålla isolering för programteam inom Key Vault?

Nej. MED RBAC-behörighetsmodellen kan du tilldela åtkomst till enskilda objekt i Key Vault till användare eller program, men alla administrativa åtgärder som åtkomstkontroll, övervakning och objekthantering i nätverket kräver behörigheter på valvnivå som sedan exponerar säker information för operatörer i programteam.

Läs mer