Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tajne informacje w usłudze Azure Key Vault przechowują poufne poświadczenia aplikacji, takie jak hasła, ciągi połączeń i klucze dostępu. Ten artykuł zawiera zalecenia dotyczące zabezpieczeń specyficzne dla zarządzania tajemnicami.
Uwaga / Notatka
Ten artykuł koncentruje się na praktykach zabezpieczeń specyficznych dla tajemnic w Key Vault. Aby uzyskać kompleksowe wskazówki dotyczące zabezpieczeń usługi Key Vault, w tym zabezpieczenia sieci, zarządzanie tożsamościami i dostępem oraz architekturę magazynu, odwiedź Zabezpieczanie usługi Azure Key Vault.
Co przechowywać jako tajemnice
Azure Key Vault został zaprojektowany do przechowywania tajemnic, takich jak poświadczenia dla usług lub aplikacji. Zapisz następujące typy danych jako wpisy tajne:
- Poświadczenia aplikacji: sekrety aplikacji klienckiej, klucze API, poświadczenia jednostki usługi
- Parametry połączenia: parametry połączenia bazy danych, parametry połączenia konta magazynu
- Hasła: usługi, aplikacji
- ** Klucze dostępu: klucze Redisa, klucze Azure Event Hubs, klucze Azure Cosmos DB, klucze Azure Storage
- Klucze SSH: Prywatne klucze SSH do bezpiecznego dostępu do powłoki
Ważne
Nie przechowuj danych konfiguracji w usłudze Key Vault. Adresy IP, nazwy usług, flagi funkcji i inne ustawienia konfiguracji powinny być przechowywane w usłudze Azure App Configuration , a nie w usłudze Key Vault. Usługa Key Vault jest zoptymalizowana pod kątem kryptograficznych tajemnic, a nie dla ogólnego zarządzania konfiguracją.
Aby uzyskać więcej informacji na temat sekretów, zobacz Informacje o tajemnicach usługi Azure Key Vault.
Format magazynowania tajemnic
Podczas przechowywania wpisów tajnych w usłudze Key Vault postępuj zgodnie z następującymi najlepszymi rozwiązaniami dotyczącymi formatowania:
Poprawnie przechowuj poświadczenia złożone: w przypadku poświadczeń z wieloma składnikami (takimi jak nazwa użytkownika/hasło) zapisz je jako:
- Poprawnie sformatowany łańcuch połączenia lub
- Obiekt JSON zawierający składniki poświadczeń
Użyj tagów dla metadanych: przechowuj informacje o zarządzaniu, takie jak harmonogramy rotacji, daty wygaśnięcia i własność w tagach sekretnych, a nie w samej wartości sekretu.
Zminimalizuj rozmiar wpisu tajnego: zachowaj zwięzłość wartości wpisów tajnych. Duże ładunki powinny być przechowywane w usłudze Azure Storage z szyfrowaniem przy użyciu klucza Key Vault do szyfrowania i sekretu Key Vault dla tokenu dostępu do przestrzeni magazynowej.
Rotacja wpisów tajnych
Wpisy tajne przechowywane w pamięci aplikacji lub plikach konfiguracji są utrwalane w całym cyklu życia aplikacji, co zwiększa ryzyko narażenia. Zaimplementuj regularną rotację sekretów, aby zminimalizować ryzyko kompromitacji.
- Regularne rotowanie sekretów: Rotowanie sekretów co najmniej co 60 dni lub częściej w scenariuszach o wysokim poziomie bezpieczeństwa
- Automatyzowanie rotacji: korzystanie z możliwości rotacji usługi Azure Key Vault w celu zautomatyzowania procesu rotacji
- Użyj podwójnych poświadczeń: w przypadku rotacji bez przestojów zaimplementuj zasoby z dwoma zestawami poświadczeń uwierzytelniania
Aby uzyskać więcej informacji na temat rotacji sekretów, zobacz:
- Zautomatyzuj rotację tajemnic dla zasobów za pomocą jednego zestawu poświadczeń
- Zautomatyzuj rotację sekretów w zasobach z użyciem dwóch kompletów poświadczeń
Buforowanie i wydajność wpisów tajnych
Usługa Key Vault wymusza limity usług, aby zapobiec nadużyciom. Aby zoptymalizować dostęp do sekretów, zachowując bezpieczeństwo:
- Buforowanie wpisów tajnych w pamięci: buforowanie wpisów tajnych w aplikacji przez co najmniej 8 godzin w celu zmniejszenia liczby wywołań interfejsu API usługi Key Vault
- Implementowanie logiki ponawiania prób: użyj logiki wykładniczego ponawiania prób, aby obsługiwać błędy przejściowe i ograniczanie
- Odświeżanie przy rotacji: aktualizowanie buforowanych wartości podczas rotacji danych wrażliwych, aby zapewnić, że aplikacje używają bieżących poświadczeń
Aby uzyskać więcej informacji na temat ograniczania przepustowości, zobacz Wskazówki dotyczące ograniczania przepustowości usługi Azure Key Vault.
Monitorowanie tajemnic
Włącz monitorowanie, aby śledzić wzorce dostępu do tajnych danych i wykrywać potencjalne problemy z zabezpieczeniami.
- Włącz rejestrowanie usługi Key Vault: rejestruj wszystkie operacje dostępu do tajnych danych w celu wykrywania nieautoryzowanych prób dostępu. Zobacz Rejestrowanie usługi Azure Key Vault
- Konfigurowanie powiadomień usługi Event Grid: monitorowanie zdarzeń cyklu życia sekretów (utworzonych, zaktualizowanych, wygasłych, zbliżających się do wygaśnięcia) dla zautomatyzowanych przepływów pracy. Zobacz Azure Key Vault jako źródło dla Event Grid
- Konfigurowanie alertów: skonfiguruj alerty usługi Azure Monitor pod kątem podejrzanych wzorców dostępu lub nieudanych prób uwierzytelniania. Zobacz Monitorowanie i zgłaszanie alertów dla usługi Azure Key Vault
- Regularnie przeglądaj dostęp: Okresowo przeprowadzaj audyt, kto ma dostęp do sekretów i usuń niepotrzebne uprawnienia
Powiązane artykuły dotyczące zabezpieczeń
- Zabezpieczanie usługi Azure Key Vault — kompleksowe wskazówki dotyczące zabezpieczeń usługi Key Vault
- Zabezpieczanie kluczy usługi Azure Key Vault — najlepsze rozwiązania dotyczące zabezpieczeń kluczy kryptograficznych
- Zabezpieczanie certyfikatów usługi Azure Key Vault — najlepsze rozwiązania dotyczące zabezpieczeń certyfikatów
Dalsze kroki
- Informacje o tajemnicach usługi Azure Key Vault
- Przewodnik dewelopera usługi Azure Key Vault
- Monitorowanie usługi Key Vault za pomocą usługi Azure Monitor