Azure Key Vault'un en iyi yöntemlerini keşfedin
Azure Key Vault, gizli dizilerin güvenli bir şekilde depolanması ve bunlara erişim sağlanması için tasarlanmış bir araçtır. Gizli dizi; API anahtarları, parolalar veya sertifikalar gibi erişimi sıkı bir şekilde denetlemek istediğiniz tüm öğelerdir. Kasa, mantıksal gizli dizi grubudur.
Kimlik Doğrulaması
Key Vault ile herhangi bir işlem yapmak için önce kimlik doğrulaması yapmanız gerekir. Key Vault'ta kimlik doğrulaması yapmanın üç yolu vardır:
Azure kaynakları için yönetilen kimlikler: Azure'da bir sanal makineye uygulama dağıttığınızda, sanal makinenize Key Vault erişimi olan bir kimlik atayabilirsiniz. Kimlikleri diğer Azure kaynaklarına da atayabilirsiniz. Bu yaklaşımın avantajı, uygulama veya hizmetin ilk gizli dizinin döndürmesini yönetmeme durumudur. Azure, kimlikle ilişkili hizmet sorumlusu istemci gizli dizisini otomatik olarak döndürür. Bu yaklaşımı en iyi yöntem olarak öneririz.
Hizmet sorumlusu ve sertifika: Key Vault'a erişimi olan bir hizmet sorumlusu ve ilişkili bir sertifika kullanabilirsiniz. Uygulama sahibinin veya geliştiricinin sertifikayı döndürmesi gerektiğinden bu yaklaşımı önermiyoruz.
Hizmet sorumlusu ve gizli dizi: Key Vault'ta kimlik doğrulaması yapmak için bir hizmet sorumlusu ve gizli dizi kullanabilirsiniz ancak bunu önermeyiz. Key Vault'ta kimlik doğrulaması yapmak için kullanılan bootstrap gizli dizisini otomatik olarak döndürmek zordur.
Hareket halindeki verilerin şifrelenmesi
Azure Key Vault, Azure Key Vault ile istemciler arasında seyahat ederken verileri korumak için Aktarım Katmanı Güvenliği (TLS) protokollerini zorunlu kıldı. İstemciler, Azure Key Vault ile BIR TLS bağlantısı anlaşması sağlar. TLS güçlü kimlik doğrulaması, ileti gizliliği ve bütünlük (ileti üzerinde değişiklik, kesme ve sahteciliğin algılanması), birlikte çalışabilirlik, algoritma esnekliği ve dağıtım ve kullanım kolaylığı sağlar.
Mükemmel İletme Gizliliği (PFS), müşterilerin istemci sistemleriyle Microsoft bulut hizmetleri arasındaki bağlantıları benzersiz anahtarlarla korur. Bağlan ions ayrıca RSA tabanlı 2.048 bit şifreleme anahtarı uzunluklarını da kullanır. Bu birleşim, birinin aktarımda olan verilere müdahale edip verilere erişmesini zorlaştırır.
Azure Key Vault en iyi yöntemleri
Ayrı anahtar kasaları kullanma: Ortam başına uygulama başına kasa kullanılması önerilir (Geliştirme, Üretim Öncesi ve Üretim). Bu düzen, ortamlar arasında gizli dizileri paylaşmamanıza yardımcı olur ve bir ihlal olduğunda tehdidi azaltır.
Kasanıza erişimi denetleme: Key Vault verileri hassastır ve iş açısından kritiktir. Yalnızca yetkili uygulamalara ve kullanıcılara izin vererek anahtar kasalarınıza erişimin güvenliğini sağlamanız gerekir.
Yedekleme: Kasa içindeki nesneleri güncelleştirmek/silmek/oluşturmak için kasanızın düzenli yedeklemelerini oluşturun.
Günlüğe kaydetme: Günlüğe kaydetmeyi ve uyarıları açtığınızdan emin olun.
Kurtarma seçenekleri: Gizli diziyi zorla silmeye karşı korumak istiyorsanız geçici silme ve temizleme korumasını açın.