Рекомендации по использованию Key VaultBest practices to use Key Vault

Управление доступом к хранилищуControl Access to your vault

Azure Key Vault — это облачная служба, которая обеспечивает защиту ключей шифрования и секретов (например, сертификатов, строк подключения и паролей).Azure Key Vault is a cloud service that safeguards encryption keys and secrets like certificates, connection strings, and passwords. Так как это критически важные для бизнеса конфиденциальные данные, следует обеспечить защиту доступа к хранилищу ключей, чтобы доступ могли получить только авторизованные приложения и пользователи.Because this data is sensitive and business critical, you need to secure access to your key vaults by allowing only authorized applications and users. В этой статье представлен обзор модели доступа Key Vault.This article provides an overview of the Key Vault access model. Здесь приводится описание процессов аутентификации и авторизации, а также содержатся сведения о том, как защитить доступ к вашему хранилищу ключей.It explains authentication and authorization, and describes how to secure access to your key vaults.

Ниже приведены рекомендации по управлению доступом к хранилищу.Suggestions while controlling access to your vault are as follows:

  1. Блокировка доступа к подписке, группе ресурсов и хранилищам ключей (RBAC)Lock down access to your subscription, resource group and Key Vaults (RBAC)
  2. Создание политик доступа для каждого хранилищаCreate Access policies for every vault
  3. Использование субъекта доступа с минимальными правами для предоставления доступаUse least privilege access principal to grant access
  4. Включить конечные точки службы брандмауэра и виртуальной сетиTurn on Firewall and VNET Service Endpoints

Использовать отдельные Key VaultUse separate Key Vault

Мы рекомендуем использовать хранилище для каждого приложения в каждой среде (разработка, подготовка и Рабочая среда).Our recommendation is to use a vault per application per environment (Development, Pre-Production and Production). Это позволяет не обмениваться секретами в разных средах, а также снизить угрозу в случае нарушения.This helps you not share secrets across environments and also reduces the threat in case of a breach.

АрхивацияBackup

Убедитесь, что вы регулярно создаете резервные копии хранилища на стороне обновления, удаления или создания объектов в хранилище.Make sure you take regular back ups of your vault on update/delete/create of objects within a Vault.

Включить ведение журналаTurn on Logging

Включите ведение журнала для хранилища.Turn on logging for your Vault. Также Настройте оповещения.Also set up alerts.

Включение параметров восстановленияTurn on recovery options

  1. Включите обратимое удаление.Turn on Soft Delete.
  2. Включите защиту от очистки, если хотите защититься от принудительного удаления секрета или хранилища даже после включения обратимого удаления.Turn on purge protection if you want to guard against force deletion of the secret / vault even after soft delete is turned on.