Ajánlott eljárások titkos kulcsok kezeléséhez a Key Vaultban
Az Azure Key Vault segítségével biztonságosan tárolhatja a szolgáltatás- vagy alkalmazás hitelesítő adatait, például a jelszavakat és a hozzáférési kulcsokat titkos kulcsként. A kulcstartóban lévő összes titkos kulcs szoftverkulccsal van titkosítva. A Key Vault használatakor többé nem kell biztonsági adatokat tárolnia az alkalmazásokban. Ha nem kell biztonsági információkat tárolnia az alkalmazásokban, azzal szükségtelenné teszi, hogy ezeket az információkat a kód részévé tegye.
Példák a Key Vaultban tárolandó titkos kódokra:
- Ügyfélalkalmazás titkos kódjai
- Kapcsolati sztringek
- Jelszavak
- Hozzáférési kulcsok (Redis Cache, Azure Event Hubs, Azure Cosmos DB)
- SSH-kulcsok
Minden más bizalmas információt, például IP-címeket, szolgáltatásneveket és egyéb konfigurációs beállításokat a Key Vault helyett Azure-alkalmazás Konfigurációban kell tárolni.
Minden egyes kulcstartó meghatározza a titkos kulcsok biztonsági határait. Alkalmazásonként, régiónként és környezetenként egyetlen kulcstartó esetében javasoljuk, hogy biztosítsa az alkalmazások titkos kulcsainak részletes elkülönítését.
A Key Vault ajánlott eljárásaival kapcsolatos további információkért tekintse meg a Key Vault használatának ajánlott eljárásait.
Konfiguráció és tárolás
Tárolja az adatbázis vagy szolgáltatás titkos értékben való eléréséhez szükséges hitelesítő adatokat. Összetett hitelesítő adatok, például felhasználónév/jelszó esetén kapcsolati sztring vagy JSON-objektumként tárolható. A felügyelethez szükséges egyéb információkat címkékben, azaz rotációs konfigurációban kell tárolni.
További információ a titkos kódokról: Tudnivalók az Azure Key Vault titkos kulcsairól.
Titkos kulcsok rotálása
A titkos kulcsokat gyakran környezeti változókként vagy konfigurációs beállításokként tárolják az alkalmazás memóriájában az alkalmazás teljes életciklusához, ami érzékenysé teszi őket a nemkívánatos expozícióra. Mivel a titkos kódok érzékenyek a szivárgásra vagy az expozícióra, fontos, hogy gyakran, legalább 60 naponta forgassa őket.
A titkos kódok rotálási folyamatával kapcsolatos további információkért tekintse meg a titkos kódok rotálásának automatizálását a két hitelesítési hitelesítőadat-készlettel rendelkező erőforrások esetében.
Hozzáférés és hálózatelkülönítés
A tárolók expozícióját csökkentheti annak megadásával, hogy mely IP-címek férhetnek hozzá. Konfigurálja a tűzfalat úgy, hogy csak az alkalmazások és a kapcsolódó szolgáltatások férhessenek hozzá a tároló titkos kulcsaihoz, így csökkentve a támadók hozzáférését a titkos kódokhoz.
A hálózatbiztonságról további információt az Azure Key Vault hálózati beállításainak konfigurálása című témakörben talál.
Emellett az alkalmazásoknak a legkevésbé kiemelt hozzáférést kell követnie azzal, hogy csak olvasási titkos kódokhoz férnek hozzá. A titkos kódokhoz való hozzáférés szabályozható hozzáférési szabályzatokkal vagy azure-beli szerepköralapú hozzáférés-vezérléssel.
További információ az Azure Key Vault hozzáférés-vezérléséről:
- Hozzáférés biztosítása a Key Vault kulcsaihoz, tanúsítványaihoz és titkos kulcsaihoz az Azure szerepköralapú hozzáférés-vezérlésével
- Key Vault-hozzáférési szabályzat hozzárendelése
Szolgáltatási korlátok és gyorsítótárazás
A Key Vault eredetileg az Azure Key Vault szolgáltatási korlátaiban megadott szabályozási korlátozásokkal lett létrehozva. Az átviteli sebesség maximalizálása érdekében az alábbi két ajánlott eljárás ajánlott:
- Legalább nyolc órán keresztül gyorsítótárazza az alkalmazásban lévő titkos kulcsokat.
- Exponenciális visszalépési újrapróbálkozási logika implementálása a szolgáltatási korlátok túllépése esetén a forgatókönyvek kezeléséhez.
A szabályozással kapcsolatos útmutatásért tekintse meg az Azure Key Vault szabályozási útmutatóját.
Figyelés
A titkos kódokhoz és azok életciklusához való hozzáférés figyeléséhez kapcsolja be a Key Vault naplózását. Az Azure Monitor használatával egyetlen helyen monitorozhatja az összes titkos kulcstevékenységet az összes tárolóban. Vagy az Azure Event Grid használatával monitorozza a titkos kódok életciklusát, mivel könnyen integrálása van az Azure Logic Appsszel és az Azure Functionsszel.
További információk:
- Az Azure Key Vault mint Event Grid-forrás
- Az Azure Key Vault naplózása
- Monitorozás és riasztás az Azure Key Vaulthoz
Biztonsági mentés és törlés elleni védelem
Kapcsolja be a törlés elleni védelmet , hogy védelmet nyújtson a titkos kódok rosszindulatú vagy véletlen törlésének ellen. Olyan esetekben, amikor a törlés elleni védelem nem lehetséges, javasoljuk a biztonsági mentési titkos kulcsok létrehozását , amelyek nem hozhatók létre más forrásokból.