Aracılığıyla paylaş

Azure Key Vault'un kullanımına yönelik en iyi yöntemler

  • Makale

Azure Key Vault, şifreleme anahtarlarını ve sertifikalar, bağlantı dizesi ve parolalar gibi gizli dizileri korur. Bu makale, anahtar kasaları kullanımınızı iyileştirmenize yardımcı olur.

Ayrı anahtar kasaları kullanma

Uygulama başına ortam başına (geliştirme, üretim öncesi ve üretim) bölge başına kasa kullanılması önerimizdir. Ayrıntılı yalıtım, gizli dizileri uygulamalar, ortamlar ve bölgeler arasında paylaşmamanıza yardımcı olur ve bir ihlal olduğunda tehdidi de azaltır.

Neden ayrı anahtar kasaları öneririz?

Anahtar kasaları, depolanan gizli diziler için güvenlik sınırlarını tanımlar. Gizli dizilerin aynı kasada gruplanması, güvenlik olayının patlama yarıçapını artırır çünkü saldırılar sorunlarda gizli dizilere erişebilir. Endişeler arasında erişimi azaltmak için belirli bir uygulamanın hangi gizli dizilere erişmesi gerektiğini göz önünde bulundurun ve ardından anahtar kasalarınızı bu ayrıma göre ayırın. Anahtar kasalarını uygulamaya göre ayırmak en yaygın sınırdır. Ancak güvenlik sınırları, örneğin ilgili hizmetler grubu başına büyük uygulamalar için daha ayrıntılı olabilir.

Kasanıza erişimi denetleme

Şifreleme anahtarları ve sertifikalar, bağlantı dizesi ve parolalar gibi gizli diziler hassas ve iş açısından kritiktir. Yalnızca yetkili uygulamalara ve kullanıcılara izin vererek anahtar kasalarınıza erişimin güvenliğini sağlamanız gerekir. Azure Key Vault güvenlik özellikleri , Key Vault erişim modeline genel bir bakış sağlar. Kimlik doğrulaması ve yetkilendirme açıklanmaktadır. Ayrıca anahtar kasalarınıza erişimin güvenliğini sağlamayı da açıklar.

Kasanıza erişimi denetlemeye yönelik öneriler şunlardır:

Önemli

Eski Erişim İlkeleri izin modeli bilinen güvenlik açıklarına ve Özel Kimlik Yönetimi desteği eksikliğine sahiptir ve kritik veriler ve iş yükleri için kullanılmamalıdır.

Kasanız için veri korumayı açma

Geçici silme açıldıktan sonra bile gizli dizilerin ve anahtar kasasının kötü amaçlı veya yanlışlıkla silinmesine karşı koruma sağlamak için temizleme korumasını açın.

Daha fazla bilgi için bkz . Azure Key Vault geçici silmeye genel bakış.

Günlüğe kaydetmeyi etkinleştirin

Kasanız için günlüğe kaydetmeyi açın. Ayrıca, uyarıları ayarlayın.

Yedekleme

Temizleme koruması, kasa nesnelerinin 90 güne kadar kötü amaçlı ve yanlışlıkla silinmesini önler. Senaryolarda, temizleme koruması olası bir seçenek olmadığında, kasa içinde oluşturulan şifreleme anahtarları gibi diğer kaynaklardan yeniden oluşturulamaz yedekleme kasası nesnelerini öneririz.

Yedekleme hakkında daha fazla bilgi için bkz . Azure Key Vault yedekleme ve geri yükleme.

Çok kiracılı çözümler ve Key Vault

Çok kiracılı bir çözüm, bileşenlerin birden çok müşteriye veya kiracıya hizmet vermek için kullanıldığı bir mimari üzerine kurulmuştur. Çok kiracılı çözümler genellikle hizmet olarak yazılım (SaaS) çözümlerini desteklemek için kullanılır. Key Vault içeren çok kiracılı bir çözüm oluşturuyorsanız müşteri verileri ve iş yükleri için yalıtım sağlamak üzere müşteri başına bir Key Vault kullanmanız önerilir. Çok kiracılı ve Azure Key Vault'u gözden geçirin.

Sık Sorulan Sorular:

Key Vault içindeki uygulama ekiplerine yalıtım sağlamak için Key Vault rol tabanlı erişim denetimi (RBAC) izin modeli nesne kapsamı atamalarını kullanabilir miyim?

Hayır RBAC izin modeli, Key Vault'taki tek tek nesnelere kullanıcıya veya uygulamaya erişim atamasına izin verir, ancak yalnızca okuma için. Ağ erişim denetimi, izleme ve nesne yönetimi gibi tüm yönetim işlemleri için kasa düzeyinde izinler gerekir. Uygulama başına bir Key Vault'a sahip olmak, uygulama ekiplerindeki operatörler için güvenli yalıtım sağlar.

Sonraki adımlar

Anahtar yönetimi en iyi yöntemleri hakkında daha fazla bilgi edinin: