Azure Key Vault 모범 사례 검색

  • 3분

Azure Key Vault는 비밀을 안전하게 저장하고 액세스하기 위한 도구입니다. 비밀은 API 키, 암호 또는 인증서와 같이 액세스를 엄격하게 제어하려는 모든 항목입니다. 자격 증명 모음은 비밀의 논리적 그룹입니다.

인증

Key Vault로 작업을 수행하려면 우선 인증을 받아야 합니다. Key Vault에 인증하는 방법에는 세 가지가 있습니다.

  • Azure 리소스에 대한 관리 ID: Azure의 가상 머신에 앱을 배포하는 경우 Key Vault에 대한 액세스 권한이 있는 가상 머신에 ID를 할당할 수 있습니다. 다른 Azure 리소스에 ID를 할당할 수도 있습니다. 이런 방식의 이점은 앱 또는 서비스에서 첫 번째 비밀의 순환을 관리하지 않는다는 점입니다. Azure는 ID와 연결된 서비스 주체 클라이언트 암호를 자동으로 교체합니다. 이 접근 방식은 모범 사례로 권장됩니다.

  • 서비스 주체 및 인증서: Key Vault에 대한 액세스 권한이 있는 서비스 주체 및 연결된 인증서를 사용할 수 있습니다. 애플리케이션 소유자나 개발자가 인증서를 순환해야 하므로 이 방법은 권장되지 않습니다.

  • 서비스 주체 및 비밀: 서비스 주체와 비밀을 사용하여 Key Vault에 인증할 수 있지만 권장하지는 않습니다. Key Vault에서 인증을 받는 데 사용하는 부트스트랩 암호를 자동으로 순환하는 것은 어렵습니다.

전송 중 데이터 암호화

Azure Key Vault는 Azure Key Vault와 클라이언트 간에 이동할 때 데이터를 보호하기 위해 TLS(전송 계층 보안) 프로토콜을 적용합니다. 클라이언트는 Azure Key Vault와 TLS 연결을 협상합니다. TLS는 강력한 인증, 메시지 개인 정보 및 무결성(메시지 변조, 가로채기 및 위조의 검색 가능), 상호 운용성, 알고리즘 유연성, 배포 및 사용 편의성을 제공합니다.

PFS(Perfect Forward Secrecy)는 고유한 키로 고객의 클라이언트 시스템과 Microsoft 클라우드 서비스 간의 연결을 보호합니다. 연결은 또한 RSA 기반 2,048비트 암호화 키 길이를 사용합니다. 이러한 조합을 통해 누군가가 전송 중 데이터를 가로채거나 액세스하기 어렵게 할 수 있습니다.

Azure Key Vault 모범 사례

  • 별도의 키 자격 증명 모음을 사용합니다. 환경별 애플리케이션당 키 자격 증명 모음을 사용하는 것이 좋습니다(개발, 테스트 및 프로덕션). 이 패턴을 사용하면 환경 간에 비밀을 공유하지 않고 위반이 있는 경우 위협을 줄일 수 있습니다.

  • 자격 증명 모음에 대한 액세스 제어: Key Vault 데이터는 중요하며 비즈니스에 중요합니다. 권한 있는 애플리케이션 및 사용자만 허용하여 키 자격 증명 모음에 대한 액세스를 보호해야 합니다.

  • 백업: 금고 내에서 개체를 업데이트/삭제/생성할 때마다 금고의 정기적인 백업을 생성합니다.

  • 로깅: 로깅 및 경고를 켜야 합니다.

  • 복구 옵션: 비밀의 강제 삭제를 방지하려면 일시 삭제 를 켜고 보호를 제거합니다.