Découvrir les meilleures pratiques d’Azure Key Vault

  • 3 minutes

Azure Key Vault est un outil permettant de stocker et d’accéder en toute sécurité aux secrets. Un secret est tout ce que vous souhaitez contrôler étroitement l’accès, comme les clés API, les mots de passe ou les certificats. Un coffre est un groupe logique de secrets.

Authentification

Pour effectuer des opérations avec Key Vault, vous devez d’abord vous y authentifier. Il existe trois façons de s’authentifier auprès de Key Vault :

  • Identités managées pour les ressources Azure : lorsque vous déployez une application sur une machine virtuelle dans Azure, vous pouvez affecter une identité à votre machine virtuelle qui a accès à Key Vault. Vous pouvez également affecter des identités à d’autres ressources Azure. L’avantage de cette approche est que l’application ou le service ne gère pas la rotation du premier secret. Azure fait automatiquement pivoter la clé secrète client du principal du service associée à l’identité. Nous vous recommandons cette approche en tant que meilleure pratique.

  • Principal de service et certificat : vous pouvez utiliser un principal de service et un certificat associé qui a accès à Key Vault. Nous vous déconseillons cette approche, car le propriétaire ou le développeur de l’application doit faire pivoter le certificat.

  • Principal de service et secret : bien que vous puissiez utiliser un principal de service et un secret pour vous authentifier auprès de Key Vault, nous ne le recommandons pas. Il est difficile de faire pivoter automatiquement le secret bootstrap utilisé pour s’authentifier auprès de Key Vault.

Chiffrement des données en transit

Azure Key Vault applique le protocole TLS (Transport Layer Security) pour protéger les données lorsqu’elles transitent entre Azure Key Vault et les clients. Les clients négocient une connexion TLS avec Azure Key Vault. TLS fournit une authentification forte, la confidentialité des messages et l’intégrité (permettant de détecter la falsification, l’interception et la falsification des messages), l’interopérabilité, la flexibilité de l’algorithme et la facilité de déploiement et d’utilisation.

Perfect Forward Secrety (PFS) protège les connexions entre les systèmes clients des clients et les services cloud Microsoft par des clés uniques. Les connexions utilisent également des longueurs de clé de chiffrement 2 048 bits basées sur RSA. Cette combinaison rend difficile l’interception et l’accès aux données en transit.

Bonnes pratiques d’Azure Key Vault

  • Utilisez des coffres de clés distincts : Recommandé à l’aide d’un coffre par application par environnement (développement, préproduction et production). Ce modèle vous aide à ne pas partager de secrets entre les environnements et réduit également la menace en cas de violation.

  • Contrôler l’accès à votre coffre : Les données Key Vault sont sensibles et critiques pour l’entreprise, vous devez sécuriser l’accès à vos coffres de clés en autorisant uniquement les applications et utilisateurs autorisés.

  • Sauvegarde: Créez des sauvegardes régulières de votre coffre lors de la mise à jour/suppression/création d’objets dans un coffre.

  • Journalisation: Veillez à activer la journalisation et les alertes.

  • Options de récupération : Activez la suppression douce et la protection contre le vidage si vous souhaitez prévenir la suppression forcée du secret.