Hemligheter i Key Vault
Hemligheter är inte hemligheter om de delas med alla. Att lagra konfidentiella objekt som anslutningssträng, säkerhetstoken, certifikat och lösenord i koden är bara att bjuda in någon att ta dem och använda dem för något annat än vad du avsåg dem för. Även att lagra den här typen av data i webbkonfigurationen är en dålig idé. Du ger i princip alla som har åtkomst till källkoden eller webbservern åtkomst till dina privata data.
I stället bör du alltid placera dessa hemligheter i Azure Key Vault.
Vad är Azure Key Vault?
Azure Key Vault är ett hemligt arkiv: en centraliserad molntjänst för lagring av programhemligheter. Key Vault håller dina konfidentiella data säkra genom att lagra programhemligheter på en enda central plats och tillhandahåller säker åtkomst, behörighetskontroll och loggning av användaråtkomst.
Hemligheter lagras i enskilda valv som alla har sina egna konfigurations- och säkerhetsprinciper för åtkomstkontroll. Du kan sedan komma åt dina data via ett REST-API eller en klient-SDK som är tillgänglig för de flesta språk.
Viktigt!
Key Vault är utformat för att lagra konfigurationshemligheter för serverprogram. Det är inte avsett för att lagra data som tillhör appanvändarna, och det bör inte användas i en apps klientsida. Det återspeglas i dess prestandaegenskaper, API och kostnadsmodell.
Användardata ska lagras någon annanstans, som i en Azure SQL-databas med transparent datakryptering eller ett lagringskonto med Storage Service Encryption. Du kan behålla hemligheter som ditt program använder för att komma åt dessa datalager i Key Vault.
Varför bör jag använda ett Key Vault för mina hemligheter?
Nyckelhantering och lagring av hemligheter kan vara komplicerat och felbenäget när det utförs manuellt. Att rotera certifikat manuellt innebär att eventuellt gå utan i några timmar eller dagar. Som nämnts ovan innebär sparande av dina anslutningssträngar i en konfigurationsfil eller kodlagringsplats att någon kan stjäla dina autentiseringsuppgifter.
Key Vault gör att användare kan lagra anslutningssträngar, hemligheter, lösenord, certifikat, åtkomstprinciper, fillås (som skrivskyddar objekt i Azure) och automatiseringsskript. Den loggar även åtkomst och aktivitet och gör att du kan övervaka åtkomstkontroll (IAM) i din prenumeration. Den har även diagnostik, mått, aviseringar och felsökningsverktyg för att säkerställa att du har den åtkomst du behöver.
Läs mer om hur du använder ett Azure Key Vault i Hantera hemligheter i dina serverappar med Azure Key Vault.
Sammanfattning
Stöld av autentiseringsuppgifter, manuell nyckelrotation och certifikatförnyelse kan vara något av det förflutna om du hanterar dina hemligheter väl med hjälp av Azure Key Vault.