Aanbevolen procedures voor geheimenbeheer in Key Vault
Met Azure Key Vault kunt u service- of toepassingsreferenties, zoals wachtwoorden en toegangssleutels, veilig opslaan als geheimen. Alle geheimen in uw sleutelkluis worden versleuteld met een softwaresleutel. Wanneer u Key Vault gebruikt, hoeft u geen beveiligingsgegevens meer op te slaan in uw toepassingen. Doordat u geen beveiligingsinformatie in toepassingen hoeft op te slaan elimineert u de noodzaak om deze informatie onderdeel van de code te maken.
Voorbeelden van geheimen die moeten worden opgeslagen in Key Vault:
- Clienttoepassingsgeheimen
- Verbindingsreeksen
- Wachtwoorden
- Toegangssleutels (Redis Cache, Azure Event Hubs, Azure Cosmos DB)
- SSH-sleutels
Andere gevoelige informatie, zoals IP-adressen, servicenamen en andere configuratie-instellingen, moet worden opgeslagen in Azure App Configuration in plaats van in Key Vault.
Elke afzonderlijke sleutelkluis definieert beveiligingsgrenzen voor geheimen. Voor één sleutelkluis per toepassing, per regio en omgeving raden we u aan om gedetailleerde isolatie van geheimen voor een toepassing op te geven.
Zie Best practices voor het gebruik van Key Vault voor meer informatie over best practices voor Key Vault.
Configuratie en opslag
Sla de referentiegegevens die nodig zijn voor toegang tot de database of service op in een geheime waarde. In het geval van samengestelde referenties, zoals gebruikersnaam/wachtwoord, kan deze worden opgeslagen als een connection string- of JSON-object. Andere informatie die nodig is voor het beheer, moet worden opgeslagen in tags, d.w.w.v. rotatieconfiguratie.
Zie Over Azure Key Vault geheimen voor meer informatie over geheimen.
Geheimen rouleren
Geheimen worden vaak opgeslagen in het toepassingsgeheugen als omgevingsvariabelen of configuratie-instellingen voor de volledige levenscyclus van de toepassing, waardoor ze gevoelig zijn voor ongewenste blootstelling. Omdat geheimen gevoelig zijn voor lekken of blootstelling, is het belangrijk om ze regelmatig te roteren, ten minste om de 60 dagen.
Zie De rotatie van een geheim automatiseren voor resources met twee sets verificatiereferenties voor meer informatie over het rotatieproces van geheimen.
Toegang en netwerkisolatie
U kunt de blootstelling van uw kluizen verminderen door op te geven welke IP-adressen er toegang toe hebben. Configureer uw firewall om alleen toepassingen en gerelateerde services toegang te geven tot geheimen in de kluis om de mogelijkheid van aanvallers om toegang te krijgen tot geheimen te beperken.
Zie Azure Key Vault-netwerkinstellingen configureren voor meer informatie over netwerkbeveiliging.
Bovendien moeten toepassingen toegang met minimale bevoegdheden volgen door alleen toegang te hebben tot leesgeheimen. Toegang tot geheimen kan worden beheerd met toegangsbeleid of met op rollen gebaseerd toegangsbeheer van Azure.
Zie voor meer informatie over toegangsbeheer in Azure Key Vault:
- Toegang bieden tot Key Vault sleutels, certificaten en geheimen met op rollen gebaseerd toegangsbeheer van Azure
- Een Key Vault-toegangsbeleid toewijzen
Servicelimieten en caching
Key Vault is oorspronkelijk gemaakt met beperkingslimieten die zijn opgegeven in Azure Key Vault servicelimieten. Hier volgen twee aanbevolen aanbevolen procedures om uw doorvoersnelheden te maximaliseren:
- Cachegeheimen in uw toepassing gedurende ten minste acht uur.
- Implementeer exponentieel back-off-pogingslogica voor het afhandelen van scenario's waarin servicelimieten worden overschreden.
Zie Azure Key Vault beperkingsrichtlijnen voor meer informatie over beperkingsrichtlijnen.
Bewaking
Als u de toegang tot uw geheimen en hun levenscyclus wilt bewaken, schakelt u Key Vault logboekregistratie in. Gebruik Azure Monitor om alle geheimenactiviteiten in al uw kluizen op één plek te bewaken. Of gebruik Azure Event Grid om de levenscyclus van geheimen te bewaken, omdat deze eenvoudig kan worden geïntegreerd met Azure Logic Apps en Azure Functions.
Zie voor meer informatie:
- Azure Key Vault als Event Grid-bron
- Logboekregistratie van Azure Key Vault
- Bewaking en waarschuwingen voor Azure Key Vault
Back-up- en opschoningsbeveiliging
Schakel beveiliging tegen opschonen in om te beschermen tegen kwaadwillende of onbedoelde verwijdering van de geheimen. In scenario's waarin beveiliging tegen opschonen geen optie is, raden we u aan back-upgeheimen te maken , die niet opnieuw kunnen worden gemaakt vanuit andere bronnen.