Poznaj najlepsze rozwiązania dotyczące usługi Azure Key Vault

  • 3 min

Usługa Azure Key Vault to narzędzie do bezpiecznego przechowywania i uzyskiwania dostępu do wpisów tajnych. Wpis tajny to wszystko, do czego chcesz ściśle kontrolować dostęp, na przykład klucze interfejsu API, hasła lub certyfikaty. Skarbiec jest logiczną grupą tajemnic.

Uwierzytelnianie

Aby wykonać wszystkie operacje w usłudze Key Vault, należy najpierw przeprowadzić jego uwierzytelnianie. Istnieją trzy sposoby uwierzytelniania w usłudze Key Vault:

  • Tożsamości zarządzane dla zasobów platformy Azure: podczas wdrażania aplikacji na maszynie wirtualnej na platformie Azure można przypisać tożsamość do maszyny wirtualnej, która ma dostęp do usługi Key Vault. Tożsamości można również przypisywać do innych zasobów platformy Azure. Zaletą tego podejścia jest to, że aplikacja lub usługa nie zarządza rotacją tajnego klucza. Platforma Azure automatycznie obraca klucz tajny klienta jednostki usługi skojarzony z tożsamością. Zalecamy takie podejście jako najlepsze rozwiązanie.

  • Jednostka usługi i certyfikat: możesz użyć jednostki usługi i skojarzonego certyfikatu, który ma dostęp do usługi Key Vault. Nie zalecamy tego podejścia, ponieważ właściciel aplikacji lub deweloper musi wymienić certyfikat.

  • Zasada usługi i tajny klucz: Chociaż można użyć zasady usługi i tajnego klucza do uwierzytelniania w Key Vault, nie zalecamy tego. Trudno jest automatycznie obrócić tajemnicę bootstrap używaną do uwierzytelniania w Key Vault.

Szyfrowanie przesyłanych danych

Usługa Azure Key Vault wymusza protokół Transport Layer Security (TLS) w celu ochrony danych podczas podróży między usługą Azure Key Vault a klientami. Klienci negocjują połączenie TLS z usługą Azure Key Vault. Protokół TLS zapewnia silne uwierzytelnianie, prywatność wiadomości i integralność (umożliwia wykrywanie naruszenia, przechwytywania i fałszowania komunikatów), współdziałanie, elastyczność algorytmu oraz łatwość wdrażania i używania.

Perfect Forward Secrecy (PFS) chroni połączenia między systemami klienckimi klientów i usługami firmy Microsoft w chmurze za pomocą unikatowych kluczy. Połączenia używają również 2048-bitowych długości kluczy szyfrowania opartych na protokole RSA. Ta kombinacja utrudnia komuś przechwytywanie i uzyskiwanie dostępu do danych przesyłanych.

Najlepsze rozwiązania dotyczące usługi Azure Key Vault

  • Użyj oddzielnych magazynów kluczy: Zaleca się używanie osobnego magazynu dla każdej aplikacji i każdego środowiska (rozwojowego, testowego i produkcyjnego). Ten wzorzec pomaga nie udostępniać tajemnic pomiędzy środowiskami, a także zmniejsza zagrożenie w przypadku naruszenia.

  • Kontrola dostępu do magazynu: Dane usługi Key Vault są poufne i krytyczne dla działania firmy. Musisz zabezpieczyć dostęp do magazynów kluczy, zezwalając tylko autoryzowanym aplikacjom i użytkownikom.

  • Kopia zapasowa: Twórz regularne kopie zapasowe swojej skrytki podczas aktualizacji/usuwania/tworzenia obiektów w skrytce.

  • Rejestrowanie: Pamiętaj, aby włączyć rejestrowanie i alerty.

  • Opcje odzyskiwania: Włącz miękkie usuwanie i ochronę przed usunięciem ostatecznym, jeśli chcesz chronić przed wymuszonym usunięciem sekretu.