Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les secrets Azure Key Vault stockent des informations d’identification d’application sensibles telles que les mots de passe, les chaînes de connexion et les clés d’accès. Cet article fournit des recommandations de sécurité spécifiques à la gestion des secrets.
Note
Cet article se concentre sur les pratiques de sécurité spécifiques aux secrets Key Vault. Pour obtenir des conseils complets sur la sécurité de Key Vault, notamment la sécurité réseau, la gestion des identités et des accès et l’architecture du coffre, consultez Sécuriser votre coffre de clés Azure.
Que stocker en tant que secrets
Les secrets Azure Key Vault sont conçus pour stocker les informations d’identification du service ou de l’application. Stockez les types de données suivants en tant que secrets :
- Informations d’identification de l’application : secrets d’application client, clés API, informations d’identification du principal de service
- Chaînes de connexion : chaînes de connexion de base de données, chaînes de connexion de compte de stockage
- Mots de passe : mots de passe de service, mots de passe d’application
- Clés d’accès : clés du cache Redis, clés Azure Event Hubs, clés Azure Cosmos DB, clés stockage Azure
- Clés SSH : clés SSH privées pour l’accès à l’interpréteur de commandes sécurisé
Important
Ne stockez pas les données de configuration dans Key Vault. Les adresses IP, les noms de service, les indicateurs de fonctionnalité et d’autres paramètres de configuration doivent être stockés dans Azure App Configuration plutôt que dans Key Vault. Key Vault est optimisé pour les secrets de chiffrement, et non pour la gestion générale de la configuration.
Pour plus d’informations sur les secrets, consultez À propos des secrets Azure Key Vault.
Format de stockage secrets
Lorsque vous stockez des secrets dans Key Vault, suivez les bonnes pratiques de mise en forme suivantes :
Stocker correctement les informations d’identification composées : pour les informations d’identification avec plusieurs composants (comme le nom d’utilisateur/mot de passe), stockez-les comme suit :
- Chaîne de connexion correctement mise en forme ou
- Objet JSON contenant les composants d’informations d’identification
Utilisez des balises pour les métadonnées : stockez des informations de gestion telles que les planifications de rotation, les dates d’expiration et la propriété dans les balises secrètes plutôt que dans la valeur secrète elle-même.
Réduire la taille des secrets : conservez les valeurs secrètes concises. Les charges utiles volumineuses doivent être stockées dans stockage Azure avec chiffrement, à l’aide d’une clé Key Vault pour le chiffrement et d’un secret Key Vault pour le jeton d’accès de stockage.
Rotation des secrets
Les secrets stockés dans la mémoire de l’application ou les fichiers de configuration persistent pour l’ensemble du cycle de vie de l’application, ce qui augmente le risque d’exposition. Implémentez une rotation régulière des secrets pour réduire le risque de compromission :
- Effectuer la rotation des secrets régulièrement : effectuer la rotation des secrets au moins tous les 60 jours, ou plus fréquemment pour les scénarios de haute sécurité
- Automatiser la rotation : utiliser les fonctionnalités de rotation d’Azure Key Vault pour automatiser le processus de rotation
- Utiliser des informations d’identification doubles : pour la rotation sans temps d’arrêt, implémentez des ressources avec deux ensembles d’informations d’identification d’authentification
Pour plus d’informations sur la rotation des secrets, consultez :
- Automatiser la rotation des secrets pour les ressources avec un jeu d’informations d’authentification
- Automatiser la rotation des secrets pour les ressources avec deux jeux d’informations d’authentification
Mise en cache et performances des secrets
Key Vault applique des limites de service pour éviter les abus. Pour optimiser l’accès aux secrets tout en conservant la sécurité :
- Secrets de cache en mémoire : cachez les secrets de votre application pendant au moins 8 heures pour réduire les appels d’API Key Vault
- Implémenter la logique de nouvelle tentative : utiliser la logique de nouvelle tentative avec back-off exponentiel pour gérer les échecs temporaires et les limitations.
- Actualiser lors de la rotation : Mettre à jour les valeurs mises en cache lorsque les secrets sont pivotés pour garantir que les applications utilisent les informations d’identification actuelles
Pour plus d’informations sur la limitation, consultez les directives de limitation d'Azure Key Vault.
Surveillance des secrets
Activez la surveillance pour suivre les modèles d’accès secret et détecter les problèmes de sécurité potentiels :
- Activez la journalisation Key Vault : journalisez toutes les opérations d’accès secret pour détecter les tentatives d’accès non autorisées. Consultez la journalisation d'Azure Key Vault
- Configurez les notifications Event Grid : surveillez les événements du cycle de vie des secrets (création, mise à jour, arrivée à expiration et proche de l'expiration) pour les flux de travail automatisés. Voir Azure Key Vault comme source Event Grid
- Configurer des alertes : configurez des alertes Azure Monitor pour les modèles d’accès suspects ou les tentatives d’authentification ayant échoué. Voir Surveillance et alertes pour Azure Key Vault
- Passer en revue régulièrement l’accès : auditez régulièrement qui a accès aux secrets et supprimez les autorisations inutiles
Articles de sécurité connexes
- Sécuriser votre coffre de clés Azure - Conseils complets sur la sécurité de Key Vault
- Sécuriser vos clés Azure Key Vault - Meilleures pratiques de sécurité pour les clés de chiffrement
- Sécuriser vos certificats Azure Key Vault - Bonnes pratiques de sécurité pour les certificats