Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Key Vault skyddar krypteringsnycklar och hemligheter som certifikat, anslutningssträngar och lösenord. Den här artikeln hjälper dig att optimera din användning av nyckelvalv.
Använd separata nyckelvalv
Vår rekommendation är att använda ett säkerhetsvalv per applikation per miljö (utveckling, förberedande produktion och produktion) per region. Detaljerad isolering hjälper dig att inte dela hemligheter mellan program, miljöer och regioner, och det minskar även hotet om det uppstår ett intrång.
Därför rekommenderar vi separata nyckelvalv
Nyckelvalv definierar säkerhetsgränser för lagrade hemligheter. Att gruppera hemligheter i samma valv ökar påverkningsområdet för en säkerhetshändelse eftersom attacker kan komma åt hemligheter över olika områden. För att minska åtkomsten över olika behov bör du överväga vilka hemligheter en specifik applikation ska ha åtkomst till och sedan separera dina säkerhetsvalv baserat på den specifika avgränsningen. Att separera nyckelvalv efter program är det vanligaste tillvägagångssättet. Säkerhetsgränser kan dock vara mer detaljerade för stora program, till exempel per grupp med relaterade tjänster.
Kontrollera åtkomsten till valvet
Krypteringsnycklar och hemligheter som certifikat, anslutningssträngar och lösenord är känsliga och affärskritiska. Du måste skydda åtkomsten till dina nyckelvalv genom att endast tillåta auktoriserade program och användare. Säkerhetsfunktionerna i Azure Key Vault ger en översikt över Key Vault-åtkomstmodellen. Det förklarar autentisering och behörighet. Den beskriver också hur du skyddar åtkomsten till dina nyckelvalv.
Rekommendationer för att kontrollera åtkomsten till valvet är följande:
- Lås åtkomsten till din prenumeration, resursgrupp och nyckelvalv med hjälp av RBAC-behörighetsmodellen (rollbaserad åtkomstkontroll) på datanivå.
- Tilldela RBAC-roller i Key Vault-omfånget för program, tjänster och arbetsbelastningar som kräver beständig åtkomst till Key Vault
- Tilldela just-in-time-berättigade RBAC-roller för operatörer, administratörer och andra användarkonton som kräver privilegierad åtkomst till Key Vault med privileged Identity Management (PIM)
- Kräv minst en godkännare
- Framtvinga multifaktorautentisering
- Begränsa nätverksåtkomst med Private Link, brandvägg och virtuella nätverk
Viktigt!
Behörighetsmodellen för äldre åtkomstprinciper har kända säkerhetsrisker och brist på stöd för priviligerad identitetshantering och bör inte användas för kritiska data och arbetsbelastningar.
Aktivera dataskydd för valvet
Aktivera rensningsskydd för att skydda mot skadlig eller oavsiktlig borttagning av hemligheter och nyckelvalv även efter att mjuk borttagning har aktiverats.
Mer information finns i Översikt över mjuk borttagning av Azure Key Vault.
Slå på loggning
Aktivera loggning för säkerhetsvalvet. Konfigurera även aviseringar.
Säkerhetskopiering
Rensningsskydd förhindrar skadlig och oavsiktlig borttagning av valvobjekt i upp till 90 dagar. I scenarier, när rensningsskydd inte är ett möjligt alternativ, rekommenderar vi säkerhetskopiering av valvobjekt som inte kan återskapas från andra källor som krypteringsnycklar som genereras i valvet.
Mer information om säkerhetskopiering finns i Säkerhetskopiering och återställning av Azure Key Vault.
Lösningar för flera klientorganisationer och Key Vault
En lösning för flera klienter bygger på en arkitektur där komponenter används för att betjäna flera kunder eller klienter. Lösningar med flera klientorganisationer används ofta för att stödja saaS-lösningar (programvara som en tjänst). Om du skapar en lösning för flera klientorganisationer som innehåller Key Vault rekommenderar vi att du använder ett Nyckelvalv per kund för att tillhandahålla isolering för kunders data och arbetsbelastningar, granska Multitenancy och Azure Key Vault.
Vanliga frågor och svar:
Kan jag använda Key Vaults rollbaserade åtkomstkontroll (RBAC) behörighetsmodells objektomfångs-tilldelningar för att ge isolering för applikationsteam inom Key Vault?
Nej. MED RBAC-behörighetsmodellen kan du tilldela åtkomst till enskilda objekt i Key Vault till användare eller program, men endast för läsning. Alla administrativa åtgärder som nätverksåtkomstkontroll, övervakning och objekthantering kräver behörigheter på valvnivå. Att ha ett Key Vault per program ger säker isolering för operatörer mellan programteam.
Nästa steg
Läs mer om metodtips för nyckelhantering: