Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Key Vault-geheimen slaan gevoelige toepassingsreferenties op, zoals wachtwoorden, verbindingsreeksen en toegangssleutels. Dit artikel bevat beveiligingsaanveling die specifiek is voor geheimenbeheer.
Opmerking
Dit artikel is gericht op beveiligingsprocedures die specifiek zijn voor Key Vault-geheimen. Zie Uw Azure Key Vault beveiligen voor uitgebreide beveiligingsrichtlijnen voor Key Vault, waaronder netwerkbeveiliging, identiteits- en toegangsbeheer en kluisarchitectuur.
Wat moet ik opslaan als geheimen?
Azure Key Vault-geheimen zijn ontworpen voor het opslaan van service- of toepassingsreferenties. Sla de volgende typen gegevens op als geheimen:
- Toepassingsreferenties: cliëntapplicatiegeheimen, API-sleutels, service-principal-referenties
- Verbindingsreeksen: databaseverbindingsreeksen, verbindingsreeksen voor opslagaccounts
- Wachtwoorden: Servicewachtwoorden, toepassingswachtwoorden
- Toegangssleutels: Redis Cache-sleutels, Azure Event Hubs-sleutels, Azure Cosmos DB-sleutels, Azure Storage-sleutels
- SSH-sleutels: Persoonlijke SSH-sleutels voor beveiligde shell-toegang
Belangrijk
Sla geen configuratiegegevens op in Key Vault. IP-adressen, servicenamen, functievlagmen en andere configuratie-instellingen moeten worden opgeslagen in Azure App Configuration in plaats van in Key Vault. Key Vault is geoptimaliseerd voor cryptografische geheimen, niet voor algemeen configuratiebeheer.
Zie Over Azure Key Vault-geheimen voor meer informatie over geheimen.
Indeling voor de opslag van geheimen
Als u geheimen opslaat in Key Vault, volgt u deze aanbevolen procedures voor opmaak:
Sla samengestelde referenties op de juiste manier op: Voor referenties met meerdere onderdelen (zoals gebruikersnaam/wachtwoord), slaat u deze op als:
- Een correct opgemaakte verbindingsreeks of
- Een JSON-object met de referentieonderdelen
Gebruik tags voor metagegevens: beheerinformatie opslaan, zoals rotatieschema's, vervaldatums en eigendom in geheime tags in plaats van in de geheime waarde zelf.
Minimaliseer de geheime grootte: houd geheime waarden beknopt. Grote nettoladingen moeten worden opgeslagen in Azure Storage met versleuteling, met behulp van een Key Vault-sleutel voor versleuteling en een Key Vault-geheim voor het toegangstoken voor opslag.
Rotatie van geheimen
Geheimen die zijn opgeslagen in toepassingsgeheugen of configuratiebestanden, blijven behouden voor de volledige levenscyclus van de toepassing, waardoor het risico op blootstelling toeneemt. Implementeer regelmatig geheimrotatie om compromisrisico's te minimaliseren:
- Regelmatig geheimen draaien: geheimen minstens om de 60 dagen draaien of vaker voor scenario's met hoge beveiliging
- Rotatie automatiseren: de rotatiemogelijkheden van Azure Key Vault gebruiken om het rotatieproces te automatiseren
- Gebruik dubbele referenties: implementeer resources met twee sets verificatiereferenties voor rotatie zonder downtime
Zie voor meer informatie over het roteren van geheimen:
- Geheimenrotatie voor resources automatiseren met een enkele set authenticatiegegevens
- Geheimrotatie voor resources automatiseren met twee sets verificatiereferenties
Geheimen opslaan in cache en prestaties
Key Vault dwingt servicelimieten af om misbruik te voorkomen. Om toegang tot geheimen te optimaliseren en de beveiliging te behouden:
- Cachegeheimen in het geheugen: Cache geheime in uw toepassing gedurende ten minste 8 uur om Key Vault API-aanroepen te verminderen
- Implementeer herhalingslogica: Gebruik exponentiële back-off-herstelpogingen om tijdelijke fouten en drosseling te verwerken
- Vernieuwen bij rotatie: waarden in cache bijwerken wanneer geheimen worden geroteerd om ervoor te zorgen dat toepassingen de huidige referenties gebruiken
Zie Azure Key Vault drosselrichtlijnen voor meer informatie over drosseling.
Geheimen bewaken
Schakel bewaking in om geheime toegangspatronen bij te houden en potentiële beveiligingsproblemen te detecteren:
- Key Vault-logboekregistratie inschakelen: registreer alle geheime toegangsbewerkingen om pogingen voor onbevoegde toegang te detecteren. Azure Key Vault logboeken bekijken
- Event Grid-meldingen instellen: gebeurtenissen voor de levenscyclus van geheimen bewaken (gemaakt, bijgewerkt, verlopen, bijna verlopen) voor geautomatiseerde werkstromen. Zie Azure Key Vault als Event Grid-bron
- Waarschuwingen configureren: Azure Monitor-waarschuwingen instellen voor verdachte toegangspatronen of mislukte verificatiepogingen. Bewaking en waarschuwingen voor Azure Key Vault bekijken
- Controleer regelmatig de toegang: controleer regelmatig wie toegang heeft tot geheimen en verwijder onnodige machtigingen
Verwante beveiligingsartikelen
- Uw Azure Key Vault beveiligen - Uitgebreide richtlijnen voor Key Vault-beveiliging
- Uw Azure Key Vault-sleutels beveiligen - Aanbevolen beveiligingsprocedures voor cryptografische sleutels
- Uw Azure Key Vault-certificaten beveiligen - Aanbevolen beveiligingsprocedures voor certificaten