Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure Key Vault tajne przechowują poufne poświadczenia aplikacji, takie jak hasła, łańcuchy połączenia i klucze dostępu. Ten artykuł zawiera zalecenia dotyczące zabezpieczeń specyficzne dla zarządzania tajemnicami.
Uwaga / Notatka
Ten artykuł koncentruje się na praktykach zabezpieczeń specyficznych dla tajemnic w Key Vault. Aby uzyskać kompleksowe wskazówki dotyczące zabezpieczeń Key Vault, w tym zabezpieczenia sieci, zarządzanie tożsamościami i dostępem oraz architekturę magazynu, zobacz Zabezpieczanie Azure Key Vault.
Co przechowywać jako tajemnice
Azure Key Vault tajemnice są przeznaczone do przechowywania poświadczeń usługowych lub aplikacji. Zapisz następujące typy danych jako wpisy tajne:
- Poświadczenia aplikacji: sekrety aplikacji klienckiej, klucze API, poświadczenia jednostki usługi
- Parametry połączenia: parametry połączenia bazy danych, parametry połączenia konta magazynu
- Hasła: usługi, aplikacji
- Klucze dostępu: Klucze pamięci podręcznej Redis, klucze Azure Event Hubs, klucze Azure Cosmos DB, klucze Azure Storage
- Klucze SSH: Prywatne klucze SSH do bezpiecznego dostępu do powłoki
Ważne
Nie przechowuj danych konfiguracji w Key Vault. Adresy IP, nazwy usług, flagi funkcji i inne ustawienia konfiguracji powinny być przechowywane w Azure App Configuration a nie w Key Vault. Key Vault jest zoptymalizowany pod kątem kryptograficznych tajemnic, a nie zarządzania ogólną konfiguracją.
Aby uzyskać więcej informacji na temat tajemnic, zobacz Informacje o tajemnicach Azure Key Vault.
Format magazynowania tajemnic
Podczas przechowywania wpisów tajnych w Key Vault postępuj zgodnie z następującymi najlepszymi rozwiązaniami dotyczącymi formatowania:
Poprawnie przechowuj poświadczenia złożone: w przypadku poświadczeń z wieloma składnikami (takimi jak nazwa użytkownika/hasło) zapisz je jako:
- Poprawnie sformatowany ciąg połączenia lub
- Obiekt JSON zawierający składniki poświadczeń
Użyj tagów dla metadanych: przechowuj informacje o zarządzaniu, takie jak harmonogramy rotacji, daty wygaśnięcia i własność w tagach sekretnych, a nie w samej wartości sekretu.
Zminimalizuj rozmiar wpisu tajnego: zachowaj zwięzłość wartości wpisów tajnych. Duże ładunki powinny być przechowywane w Azure Storage z szyfrowaniem, przy użyciu klucza Key Vault do szyfrowania i tajnego wpisu Key Vault do uzyskania tokenu dostępu do magazynu.
Rotacja wpisów tajnych
Wpisy tajne przechowywane w pamięci aplikacji lub plikach konfiguracji są utrwalane w całym cyklu życia aplikacji, co zwiększa ryzyko narażenia. Zaimplementuj regularną rotację sekretów, aby zminimalizować ryzyko kompromitacji.
- Regularnie zmieniaj hasła: często zmieniaj hasła zgodnie z zasadami bezpieczeństwa organizacji oraz ze względu na poufność poświadczeń. Krótsze interwały rotacji (na przykład 60–90 dni) zmniejszają ryzyko narażenia na przejęte tajemnice.
- Automatyzacja rotacji: Użyj funkcji rotacji Azure Key Vault do automatyzacji procesu.
- Użyj podwójnych poświadczeń: w przypadku rotacji bez przestojów zaimplementuj zasoby z dwoma zestawami poświadczeń uwierzytelniania
Aby uzyskać więcej informacji na temat rotacji sekretów, zobacz:
- Zautomatyzuj rotację tajemnic dla zasobów za pomocą jednego zestawu poświadczeń
- Zautomatyzuj rotację sekretów w zasobach z użyciem dwóch kompletów poświadczeń
Buforowanie i wydajność wpisów tajnych
Key Vault wymusza limity usług, aby zapobiec nadużyciom. Aby zoptymalizować dostęp do sekretów, zachowując bezpieczeństwo:
- Buforuj tajemnice w pamięci: Buforowanie tajemnic w aplikacji w celu zmniejszenia liczby wywołań interfejsu API Key Vault i uniknięcia ograniczania wywołań. Ponownie używaj buforowanych wartości, gdy jest to możliwe, i odświeżaj je po rotacji tajemnic. Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące ograniczania zasobów w Azure Key Vault.
- Implementowanie logiki ponawiania prób: użyj logiki wykładniczego ponawiania prób, aby obsługiwać błędy przejściowe i ograniczanie
- Odświeżanie przy rotacji: aktualizowanie buforowanych wartości podczas rotacji danych wrażliwych, aby zapewnić, że aplikacje używają bieżących poświadczeń
Monitorowanie tajemnic
Włącz monitorowanie, aby śledzić wzorce dostępu do tajnych danych i wykrywać potencjalne problemy z zabezpieczeniami.
- Włącz rejestrowanie Key Vault: Rejestruj wszystkie operacje dostępu do wpisów tajnych w celu wykrywania nieautoryzowanych prób dostępu. Zobacz logowanie Azure Key Vault
- Konfigurowanie powiadomień usługi Event Grid: monitorowanie zdarzeń cyklu życia sekretów (utworzonych, zaktualizowanych, wygasłych, zbliżających się do wygaśnięcia) dla zautomatyzowanych przepływów pracy. Zobacz Azure Key Vault jako źródło usługi Event Grid
- Konfiguruj alerty: Skonfiguruj alerty Azure Monitor dotyczące podejrzanych wzorców dostępu lub nieudanych prób uwierzytelniania. Zobacz Monitorowanie i alerty dla Azure Key Vault
- Regularnie przeglądaj dostęp: Okresowo przeprowadzaj audyt, kto ma dostęp do sekretów i usuń niepotrzebne uprawnienia
Powiązane artykuły dotyczące zabezpieczeń
- Secure your Azure Key Vault — kompleksowe wskazówki dotyczące zabezpieczeń Key Vault
- Bezpiecz klucze Azure Key Vault — Najlepsze rozwiązania dotyczące zabezpieczeń kluczy kryptograficznych
- Bezpiecz certyfikaty Azure Key Vault — Najlepsze rozwiązania dotyczące zabezpieczeń certyfikatów