Aanbevolen procedures voor het gebruik van Azure Key Vault

  • Artikel

Azure Key Vault beveiligt versleutelingssleutels en geheimen zoals certificaten, verbindingsreeksen en wachtwoorden. Dit artikel helpt u bij het optimaliseren van uw gebruik van sleutelkluizen.

Afzonderlijke sleutelkluizen gebruiken

We raden u aan om een kluis per toepassing per omgeving (ontwikkeling, preproductie en productie) per regio te gebruiken. Gedetailleerde isolatie helpt u geen geheimen te delen in toepassingen, omgevingen en regio's, en vermindert ook de dreiging als er sprake is van een inbreuk.

Waarom we afzonderlijke sleutelkluizen aanbevelen

Sleutelkluizen definiëren beveiligingsgrenzen voor opgeslagen geheimen. Het groeperen van geheimen in dezelfde kluis verhoogt de straal van een beveiligingsgebeurtenis, omdat aanvallen mogelijk toegang hebben tot geheimen in verschillende problemen. Als u toegang tot meerdere problemen wilt beperken, bedenkt u tot welke geheimen een specifieke toepassing toegang moet hebben en scheidt u vervolgens uw sleutelkluizen op basis van deze afbakening. Het scheiden van sleutelkluizen per toepassing is de meest voorkomende grens. Beveiligingsgrenzen kunnen echter gedetailleerder zijn voor grote toepassingen, bijvoorbeeld per groep gerelateerde services.

Toegang tot uw kluis beheren

Versleutelingssleutels en geheimen, zoals certificaten, verbindingsreeksen en wachtwoorden, zijn gevoelig en bedrijfskritiek. U moet de toegang tot uw sleutelkluizen beveiligen door alleen geautoriseerde toepassingen en gebruikers toe te staan. Azure Key Vault-beveiligingsfuncties bieden een overzicht van het Key Vault-toegangsmodel. Hierin wordt de verificatie en autorisatie uitgelegd. Ook wordt beschreven hoe u de toegang tot uw sleutelkluizen kunt beveiligen.

Aanbevelingen voor het beheren van de toegang tot uw kluis zijn als volgt:

  • Vergrendel de toegang tot uw abonnement, resourcegroep en sleutelkluizen met op rollen gebaseerd toegangsbeheer (RBAC).
  • Wijs RBAC-rollen toe op Key Vault bereik voor toepassingen, services en workloads waarvoor permanente toegang tot Key Vault
  • Wijs just-in-time geschikte RBAC-rollen toe voor operators, beheerders en andere gebruikersaccounts waarvoor bevoegde toegang tot Key Vault is vereist met behulp van Privileged Identity Management (PIM)
    • Ten minste één fiatteur vereisen
    • Meervoudige verificatie forceren
  • Netwerktoegang beperken met Private Link, firewall en virtuele netwerken

Gegevensbeveiliging inschakelen voor uw kluis

Schakel beveiliging tegen opschonen in om u te beschermen tegen schadelijke of onbedoelde verwijdering van de geheimen en sleutelkluis, zelfs nadat voorlopig verwijderen is ingeschakeld.

Zie Overzicht van Voorlopig verwijderen van Azure Key Vault voor meer informatie

Schakel logboekregistratie in

Schakel logboekregistratie in voor uw kluis. Stel ook waarschuwingen in.

Backup

Beveiliging tegen opschonen voorkomt schadelijke en onbedoelde verwijdering van kluisobjecten gedurende maximaal 90 dagen. In scenario's waarin beveiliging opschonen geen optie is, raden we u aan back-upkluisobjecten te maken, die niet opnieuw kunnen worden gemaakt op basis van andere bronnen, zoals versleutelingssleutels die in de kluis zijn gegenereerd.

Zie Back-up en herstel van Azure Key Vault voor meer informatie over back-up

Multitenant-oplossingen en Key Vault

Een oplossing met meerdere tenants is gebaseerd op een architectuur waarin onderdelen worden gebruikt om meerdere klanten of tenants te bedienen. Multitenant-oplossingen worden vaak gebruikt ter ondersteuning van SaaS-oplossingen (Software as a Service). Als u een multitenant-oplossing bouwt die Key Vault bevat, raadpleegt u Multitenancy en Azure Key Vault.

Veelgestelde vragen:

Kan ik objectbereiktoewijzingen van Key Vault op rollen gebaseerd toegangsbeheer (RBAC) gebruiken om isolatie te bieden voor toepassingsteams binnen Key Vault?

Nee. Met het RBAC-machtigingsmodel kan toegang tot afzonderlijke objecten in Key Vault worden toegewezen aan gebruikers of toepassingen, maar alleen voor lezen. Voor alle beheerbewerkingen, zoals netwerktoegangsbeheer, bewaking en objectbeheer, zijn machtigingen op kluisniveau vereist. Eén Key Vault per toepassing biedt veilige isolatie voor operators in toepassingsteams.

Volgende stappen

Meer informatie over best practices voor sleutelbeheer: