Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Key Vault gizli dizileri parolalar, bağlantı dizeleri ve erişim anahtarları gibi hassas uygulama kimlik bilgilerini depolar. Bu makalede sır yönetimine özgü güvenlik önerileri sağlanır.
Uyarı
Bu makale, Key Vault sırlarına özgü güvenlik uygulamalarına odaklanmaktadır. Ağ güvenliği, kimlik ve erişim yönetimi ve kasa mimarisi gibi kapsamlı Azure Key Vault güvenlik kılavuzları için bkz. Azure Key Vault'u Güvenli Hale Getirin.
Gizli olarak hangi bilgilerin depolanacağı
Azure Key Vault gizli dizileri, hizmet veya uygulama kimlik bilgilerini depolamak için tasarlanmıştır. Aşağıdaki veri türlerini gizli dizi olarak depolayın:
- Uygulama kimlik bilgileri: İstemci uygulama gizli dizileri, API anahtarları, hizmet sorumlusu kimlik bilgileri
- Bağlantı dizeleri: Veritabanı bağlantı dizeleri, depolama hesabı bağlantı dizeleri
- Parolalar: Hizmet parolaları, uygulama parolaları
- Erişim anahtarları: Redis Cache anahtarları, Azure Event Hubs anahtarları, Azure Cosmos DB anahtarları, Azure Depolama anahtarları
- SSH anahtarları: Güvenli kabuk erişimi için özel SSH anahtarları
Önemli
Yapılandırma verilerini Key Vault'ta depolamayın. IP adresleri, hizmet adları, özellik bayrakları ve diğer yapılandırma ayarları Key Vault yerine Azure Uygulama Yapılandırması'nda depolanmalıdır. Key Vault, genel yapılandırma yönetimi için değil şifreleme gizli dizileri için iyileştirilmiştir.
Daha fazla bilgi almak için Azure Key Vault gizli anahtarları hakkında konusuna bakın.
Gizli bilgi depolama biçimi
Gizli bilgileri Key Vault'ta depolarken şu en iyi uygulamaları izleyin:
Bileşik kimlik bilgilerini düzgün depolayın: Birden çok bileşeni olan kimlik bilgileri için (kullanıcı adı/parola gibi), bunları şu şekilde depolayın:
- Düzgün biçimlendirilmiş bir bağlantı dizesi veya
- Kimlik bilgisi bileşenlerini içeren bir JSON nesnesi
Meta veriler için etiketleri kullanma: Döndürme zamanlamaları, son kullanma tarihleri ve sahiplik gibi yönetim bilgilerini gizli dizi değerinin kendisi yerine gizli etiketlerde depolayın.
Gizli dizi boyutunu en aza indirin: Gizli dizi değerlerini kısa tutun. Büyük yükler, şifreleme için bir Key Vault anahtarı ve depolama erişim belirteci için bir Key Vault gizli dizisi kullanılarak şifrelenmiş olarak Azure Depolama'da depolanmalıdır.
Gizli anahtar döndürme
Uygulama belleğinde veya yapılandırma dosyalarında depolanan gizli diziler, uygulama yaşam döngüsünün tamamında kalıcı olarak kalır ve açığa çıkarma riski artar. Riski en aza indirmek için düzenli sır değiştirilmesi uygulayın.
- Gizli bilgileri düzenli olarak döndürme: Gizli bilgileri en az 60 günde bir veya yüksek güvenlikli senaryolar için daha sık döndürme
- Döndürmeyi otomatikleştirme: Döndürme işlemini otomatikleştirmek için Azure Key Vault'un döndürme özelliklerini kullanın
- Çift kimlik bilgilerini kullanma: Sıfır kapalı kalma süresi döndürme için iki kimlik doğrulama kimlik bilgisi kümesine sahip kaynakları uygulayın
Gizli bilgilerin döndürülmesi hakkında daha fazla bilgi için bkz:
- Tek set kimlik doğrulama bilgileriyle kaynaklar için gizlilik döngüsünü otomatikleştirin
- Kaynaklar için iki kimlik doğrulama bilgisi kümesiyle gizli anahtar döndürmeyi otomatikleştirme
Gizli anahtarları önbelleğe alma ve performans
Key Vault, kötüye kullanımı önlemek için hizmet sınırları uygular. Güvenliği korurken gizli içeriklere erişimi iyileştirmek için:
- Gizli dizileri bellekte önbelleğe alma: Key Vault API çağrılarını azaltmak için uygulamanızdaki gizli dizileri en az 8 saat önbelleğe alın
- Yeniden deneme mantığını uygulama: Geçici hataları ve kısıtlamayı işlemek için üstel geri çekilme yeniden deneme mantığını kullanın.
- Dönüşte yenileme: Uygulamaların geçerli kimlik bilgilerini kullanmasını sağlamak için gizli bilgiler döndürüldüğünde önbelleğe alınan değerleri güncelleştirin
Kısıtlama hakkında daha fazla bilgi için bkz. Azure Key Vault kısıtlama kılavuzu.
Gizli bilgileri izleme
Gizli dizi erişim desenlerini izlemek ve olası güvenlik sorunlarını algılamak için izlemeyi etkinleştirin:
- Key Vault günlüğünü etkinleştirme: Yetkisiz erişim girişimlerini algılamak için tüm gizli dizi erişim işlemlerini günlüğe kaydedin. Bkz. Azure Key Vault günlüğü
- Event Grid bildirimlerini ayarlama: Otomatik iş akışları için gizli yaşam döngüsü olaylarını (oluşturuldu, güncelleştirildi, süresi doldu, neredeyse süresi doldu) izleyin. Bakınız, Azure Key Vault'un Event Grid kaynağı olarak kullanılması
- Uyarıları yapılandırma: Şüpheli erişim desenleri veya başarısız kimlik doğrulama girişimleri için Azure İzleyici uyarılarını ayarlayın. Bkz. Azure Key Vault için izleme ve uyarı
- Erişimi düzenli olarak gözden geçirme: Gizli dizilere erişimi olan kişileri düzenli aralıklarla denetleme ve gereksiz izinleri kaldırma
İlgili güvenlik makaleleri
- Azure Key Vault'unuzun güvenliğini sağlama - Kapsamlı Key Vault güvenlik kılavuzu
- Azure Key Vault anahtarlarınızın güvenliğini sağlama - Şifreleme anahtarları için en iyi güvenlik yöntemleri
- Azure Key Vault sertifikalarınızın güvenliğini sağlama - Sertifikalar için en iyi güvenlik yöntemleri