探索 Azure Key Vault 最佳做法
Azure Key Vault 是可安全儲存及存取祕密的工具。 秘密是您想要嚴格控制存取權的任何專案,例如 API 金鑰、密碼或憑證。 保存庫是祕密的邏輯群組。
認證
若要對 Key Vault 執行任何作業,您必須先通過其驗證。 有三種向 Key Vault 進行驗證的方式:
Azure 資源受控識別:當您在 Azure 中將應用程式部署於虛擬機器時,您可以指派身分識別給可存取 Key Vault 的虛擬機器。 您也可以指派身分識別給其他 Azure 資源。 此方法的優點是應用程式或服務不必管理第一個祕密的輪替。 Azure 會自動輪替與身分識別相關聯的服務主體客戶端密碼。 建議以此方法為最佳做法。
服務主體和憑證:您可以使用可存取 Key Vault 的服務主體和相關聯的憑證。 不建議採用此方法,因為應用程式擁有者或開發人員必須輪替憑證。
服務主體和祕密:雖然您可以使用服務主體和祕密向 Key Vault 驗證,但不建議這麼做。 用來向 Key Vault 驗證的啟動程序祕密很難自動輪替。
傳輸中數據的加密
Azure Key Vault 會強制執行傳輸層安全性 (TLS) 通訊協定,以在 Azure Key Vault 與客戶端之間傳輸時保護數據。 用戶端會與 Azure Key Vault 交涉 TLS 連線。 TLS 支援增強式驗證、訊息隱私權、完整性 (可偵測訊息竄改、攔截和偽造)、互通性、演算法彈性,以及輕鬆部署和使用。
完美轉寄密碼 (PFS) 可透過唯一金鑰保護客戶客戶端系統與Microsoft雲端服務之間的連線。 連線也採用 RSA 型 2,048 位元加密金鑰長度。 這種組合使得某人難以攔截和存取傳輸中的數據。
Azure Key Vault 最佳做法
使用個別的金鑰保存庫: 建議在每個環境(開發、準生產和生產)中為每個應用程式使用各自的保存庫。 此模式可協助您不要跨環境共用秘密,而且如果發生缺口,也會降低威脅。
控制保存庫的存取: Key Vault 資料是機密且業務關鍵,您必須只允許授權的應用程式和使用者,來保護密鑰保存庫的存取。
備份: 在保存庫內更新/刪除/建立物件時,建立保存庫的定期備份。
記錄: 請務必啟用日誌和警報。
復原選項: 如果您想要防止強制刪除機密資料,請開啟 軟刪除 和清除保護。