Azure Key Vault sırlarınızın güvenliğini sağlama

Azure Key Vault gizli diziler parolalar, bağlantı dizeleri ve erişim anahtarları gibi hassas uygulama kimlik bilgilerini depolar. Bu makalede sır yönetimine özgü güvenlik önerileri sağlanır.

Uyarı

Bu makale, Key Vault gizli dizilere özgü güvenlik uygulamalarına odaklanır. Ağ güvenliği, kimlik ve erişim yönetimi ve kasa mimarisi gibi kapsamlı Key Vault güvenlik yönergeleri için bkz. Azure Key Vault'ınızı güvenceye alma.

Gizli olarak hangi bilgilerin depolanacağı

Azure Key Vault gizli dizileri, hizmet veya uygulama kimlik bilgilerini depolamak için tasarlanmıştır. Aşağıdaki veri türlerini gizli dizi olarak depolayın:

• Uygulama kimlik bilgileri: İstemci uygulama gizli dizileri, API anahtarları, hizmet sorumlusu kimlik bilgileri
• Bağlantı dizeleri: Veritabanı bağlantı dizeleri, depolama hesabı bağlantı dizeleri
• Parolalar: Hizmet parolaları, uygulama parolaları
• Access anahtarları: Redis Cache anahtarları, Azure Event Hubs anahtarları, Azure Cosmos DB anahtarları, Azure Depolama anahtarları
• SSH anahtarları: Güvenli kabuk erişimi için özel SSH anahtarları

Önemli

Yapılandırma verilerini Key Vault depolamayın. IP adresleri, hizmet adları, özellik bayrakları ve diğer yapılandırma ayarları Key Vault yerine Azure Uygulama Yapılandırması içinde depolanmalıdır. Key Vault, genel yapılandırma yönetimi için değil şifreleme sırları için iyileştirilmiştir.

Gizli bilgiler hakkında daha fazla bilgi için bakınız Azure Key Vault gizli bilgileri hakkında.

Gizli bilgi depolama biçimi

Gizli bilgileri Key Vault depolarken şu en iyi biçimlendirme yöntemlerini izleyin:

• Bileşik kimlik bilgilerini düzgün depolayın: Birden çok bileşeni olan kimlik bilgileri için (kullanıcı adı/parola gibi), bunları şu şekilde depolayın:

  • Düzgün biçimlendirilmiş bir bağlantı dizesi veya
  • Kimlik bilgisi bileşenlerini içeren bir JSON nesnesi

• Meta veriler için etiketleri kullanma: Döndürme zamanlamaları, son kullanma tarihleri ve sahiplik gibi yönetim bilgilerini gizli dizi değerinin kendisi yerine gizli etiketlerde depolayın.

• Gizli dizi boyutunu en aza indirin: Gizli dizi değerlerini kısa tutun. Büyük yükler, şifrelemede bir Key Vault anahtarı ve depolama erişim belirteci için bir Key Vault sırrı kullanılarak şifreleme aracılığıyla Azure Depolama'e depolanmalıdır.

Gizli anahtar döndürme

Uygulama belleğinde veya yapılandırma dosyalarında depolanan gizli diziler, uygulama yaşam döngüsünün tamamında kalıcı olarak kalır ve açığa çıkarma riski artar. Riski en aza indirmek için düzenli sır değiştirilmesi uygulayın.

• Gizli dizileri düzenli olarak döndürme: Kuruluşunuzun güvenlik ilkesine ve kimlik bilgilerinin duyarlılığına göre gizli dizileri sık sık döndürün. Daha kısa döndürme aralıkları (örneğin, 60-90 gün), gizliliği ihlal edilmiş gizli bilgilerin oluşturabileceği riskleri azaltır.
• Automate rotation: Döndürme işlemini otomatikleştirmek için Azure Key Vault döndürme özelliklerini kullanın
• Çift kimlik bilgilerini kullanma: Sıfır kapalı kalma süresi döndürme için iki kimlik doğrulama kimlik bilgisi kümesine sahip kaynakları uygulayın

Gizli bilgilerin döndürülmesi hakkında daha fazla bilgi için bkz:

• Tek set kimlik doğrulama bilgileriyle kaynaklar için gizlilik döngüsünü otomatikleştirin
• Kaynaklar için iki kimlik doğrulama bilgisi kümesiyle gizli anahtar döndürmeyi otomatikleştirme

Gizli anahtarları önbelleğe alma ve performans

Key Vault kötüye kullanımı önlemek için hizmet sınırlarını uygular. Güvenliği korurken gizli içeriklere erişimi iyileştirmek için:

• Gizli bilgileri bellekte önbelleğe alın: Key Vault API çağrılarını azaltmak ve daralmayı önlemek için uygulamanızda gizli bilgileri önbelleğe alın. Önbelleğe alınan değerleri mümkün olduğunda yeniden kullanın ve gizli bilgiler güncellendiğinde bunları yenileyin. Daha fazla bilgi için bkz. Azure Key Vault kısıtlama kılavuzu.
• Yeniden deneme mantığını uygulama: Geçici hataları ve kısıtlamayı işlemek için üstel geri çekilme yeniden deneme mantığını kullanın.
• Dönüşte yenileme: Uygulamaların geçerli kimlik bilgilerini kullanmasını sağlamak için gizli bilgiler döndürüldüğünde önbelleğe alınan değerleri güncelleştirin

Gizli bilgileri izleme

Gizli dizi erişim desenlerini izlemek ve olası güvenlik sorunlarını algılamak için izlemeyi etkinleştirin:

• Key Vault günlüğünü etkinleştir: Yetkisiz erişim girişimlerini algılamak için tüm gizli erişim işlemlerini günlüğe kaydetme. Bkz. Azure Key Vault günlüğü
• Event Grid bildirimlerini ayarlama: Otomatik iş akışları için gizli yaşam döngüsü olaylarını (oluşturuldu, güncelleştirildi, süresi doldu, neredeyse süresi doldu) izleyin. Event Grid kaynağı olarak Azure Key Vault'u görün
• Uyarıları yapılandırın: Şüpheli erişim desenleri veya başarısız kimlik doğrulama girişimleri için Azure İzleyici uyarıları ayarlayın. Azure Key Vault için İzleme ve uyarılar konusuna bakın.
• Erişimi düzenli olarak gözden geçirme: Gizli dizilere erişimi olan kişileri düzenli aralıklarla denetleme ve gereksiz izinleri kaldırma

İlgili güvenlik makaleleri

• Azure Key Vault'ınızı güvenceye alın - Kapsamlı Azure Key Vault güvenlik kılavuzu
• Azure Key Vault anahtarlarınızı güvenceye alın - Şifreleme anahtarları için en iyi güvenlik yöntemleri
• Azure Key Vault sertifikalarınızı güvenceye alın - Sertifikalar için en iyi güvenlik yöntemleri

Sonraki Adımlar

• Azure Key Vault sırları hakkında
• Azure Key Vault geliştirici kılavuzu
• Azure İzleyici ile Key Vault'u İzleyin