Azure 'da anahtar ve gizli dizi yönetimi konuları

  • Makale
  • Okumak için 4 dakika

Şifreleme anahtarlarının korunması, genellikle aşırı göz alabilir veya hatalı şekilde uygulanabilir. Anahtar uygulama kodu ile güvenli bir şekilde yönetilmesi özellikle zordur ve yanlışlıkla gizli erişim anahtarlarını genel kod depolarına yayımlamayla ilgili hatalara yol açabilir.

Depolama erişim denetimi için kimlik tabanlı seçeneklerin kullanılması önerilir. Bu seçenek, depolama kaynakları üzerinde rol tabanlı erişim denetimleri (RBAC) kullanır. Belirli bir kapsamdaki kullanıcılara, gruplara ve uygulamalara izinler atamak için RBAC kullanın. Azure Active Directory (Azure AD) gibi kimlik sistemleri, anahtar döndürmeyi işleme, anormallikleri izlemek ve diğerleri için yerleşik mekanizmalarla erişim denetimi için güvenli ve kullanılabilir deneyim sunar.

Not

En az ayrıcalık ilkesine göre erişim izni verin. Gerekenden daha fazla ayrıcalık verme riski, verilerin güvenliğinin aşılmasına yol açabilir.

hassas verileri Azure Blob Depolama depolamanız gerektiğini varsayalım. Depolama alanına erişmek için gerekli izinlere sahip bir hizmet sorumlusunun kimliğini doğrulamak için Azure AD ve RBAC kullanabilirsiniz. Özelliği hakkında daha fazla bilgi için, başvuru Azure Active Directory kullanarak bloblara ve kuyruklara erişim yetkisiverir.

İpucu

SAS belirteçlerini kullanmak, erişimi denetlemek için kullanılan yaygın bir yoldur. SAS belirteçleri, hizmet sahibinin Azure AD kimlik bilgileri kullanılarak oluşturulur. Belirteçler kaynak başına oluşturulur ve erişimi kısıtlamak için Azure RBAC kullanabilirsiniz. SAS belirteçlerinin bir zaman sınırı vardır ve bu da pozlama penceresini denetler. Yukarıdaki örnek için kaynaklar aşağıda verilmiştir:

GitHub logoGitHub: Azure bilişsel hizmetler başvuru uygulama.

Tasarım konuları, Azure bilişsel Hizmetler Ile konuşma dökümdeaçıklanmaktadır.

Anahtar depolama

Güvenlik sızıntılarını engellemek için aşağıdaki anahtarları ve gizli dizileri güvenli bir depoda depolayın:

  • API anahtarları
  • Veritabanı bağlantı dizeleri
  • Veri şifreleme anahtarları
  • Parolalar

Gizli bilgiler uygulama kodu veya yapılandırma içinde depolanmamalıdır. Kaynak koda okuma erişimi elde eden bir saldırgan, uygulama ve ortama özgü gizli dizileri hakkında bilgi edinmemelidir.

Tüm uygulama anahtarlarını ve gizli dizileri Azure Key Vault veya HashiCorp Kasasıgibi bir yönetilen Anahtar Kasası hizmetinde depolayın. Şifreleme anahtarlarının yönetilen bir depoda depolanması, erişimi daha fazla sınırlandırır. İş yükü, Yönetilen kimlikler kullanarak Key Vault karşı kimlik doğrulaması yaparak gizli dizilerle erişebilir. Bu erişim, Azure RBAC ile kısıtlanabilir.

Herhangi bir ortam türü (geliştirme, test veya üretim) için hiçbir anahtar ve gizli dizi olmadığından emin olun; uygulama yapılandırma dosyalarında veya CI/CD işlem hatları 'nda depolanır. geliştiriciler, kimlik bilgilerine erişmek için Visual Studio bağlı hizmetleri veya yalnızca yerel dosyaları kullanabilir.

Uygulama kodunuzda sunulan anahtarları düzenli olarak algılayan süreçler vardır. Bir seçenek kimlik bilgileri tarayıcıdır. Yapılandırma görevi, kimlik bilgileri tarayıcı görevihakkında bilgi için.

Anahtarlar ve gizli anahtarlara erişim izni vermek için anahtar kasaları için bir erişim modeliniz var mı?

Anahtar kasalarınıza güvenli erişim sağlamak için, erişim modeli aracılığıyla anahtarlar ve gizli dizi izinlerini denetleyin. Daha fazla bilgi için başvuru erişim modeline genel bakış.

Önerilen Eylemler

Gizlilikler ve anahtarlar için Azure Key Vault kullanmayı düşünün.

İşlemsel konular

uygulama bağlamındaki anahtarlar ve gizli dizileri yönetmekten Who sorumludur?

Anahtar ve sertifika döndürme genellikle uygulama kesintilerinin nedendir. Azure, süresi dolmamış sertifikalarla karşılaşmıştır. Anahtar ve sertifika döndürmenin zamanlanması ve tamamen çalıştırılabilir olması önemlidir. Bir verimlilik sağlamak için, döndürme işlemi otomatik ve test edilmelidir. Azure Key Vault, anahtar döndürmeyi ve denetimini destekler.

Merkezi SecOps ekibi, anahtarların ve parolaların yönetilme (idare) hakkında rehberlik sağlar. uygulama DevOps ekibi, uygulamayla ilgili anahtar ve gizli dizileri yönetmekten sorumludur.

Ne tür anahtarlar ve gizli diziler kullanılır ve bunlar nasıl oluşturulur?

Aşağıdaki yaklaşımlar şunlardır:

  • Microsoft tarafından yönetilen anahtarlar
  • Müşteri tarafından yönetilen anahtarlar
  • Kendi Anahtarını Getir

Bu karar genellikle güvenlik, uyumluluk ve belirli veri sınıflandırması gereksinimlerine göre çalıştırılır. En uygun anahtar türlerini öğrenmek için bu gereksinimlerin net bir şekilde anlaşılmasına olanak sağlar.

Anahtarlar ve parolalar sıklıkla döndürülmüş mı?

Saldırı vektörlerini azaltmak için, gizlilikler döndürme gerektirir ve süresi dolma açıktır. İşlemin otomatik olması ve herhangi bir insan etkileşimi olmadan yürütülmesi gerekir. Bunları yönetilen bir depoda depolamak, anahtar döndürmeyi işleyerek bu işletimsel görevleri basitleştirir.

Gizli dizileri, etkin yaşam sürelerinin sonuna ulaştıktan sonra veya tehlikeye atılırsa değiştirin. Yenilenen sertifikalar da yeni bir anahtar kullanmalıdır. Anahtarların güvenliğinin tehlikeye girdiği (sızdırılan) ve isteğe bağlı olarak yeniden oluşturulması gereken durumlar için bir işlemden yararlanın. örneğin, SQL Veritabanı ' de parolalar döndürme.

Daha fazla bilgi için Key Vault anahtar dönüşübaşvurusu.

Yönetilen kimlikleri kullanarak, hizmet sorumlularının gizli dizilerini veya sertifikalarını depolamak için işlemsel yükü kaldırırsınız.

Görüntülenen SSL/TLS sertifikalarının sona erme tarihleri ve bunları yenilemek için süreçler var mı?

Uygulama kesintisine ilişkin yaygın bir nedeni SSL/TLS sertifikalarında zaman aşımına uğradı.

SSL/TLS sertifikalarının sona erme tarihlerini izleyerek ve bunları geçen zamanda yenileyerek kesintiler yapmaktan kaçının. İdeal olarak, bu genellikle kullanılan sertifika yetkilisine (CA) bağlı olsa da, işlem otomatikleştirilmelidir. Otomatik değilse, sona erme tarihlerinin karşılanmadığından emin olmak için uyarıları kullanın.

Önerilen Eylemler

SSL sertifika yönetimi için bir işlem ve Azure Key Vault ile otomatik yenileme işlemi uygulayın.

Daha fazla bilgi edinin

Öğretici: Key Vault içinde sertifika otomatik döndürmeyi yapılandırma

İlgili içerik

Kimlik ve erişim yönetimi hizmetleri, aşağıdaki grupların kimliğini doğrular ve izin verir:

  • Kullanıcılar
  • İş Ortakları
  • Müşteriler
  • Uygulamalar
  • Hizmetler
  • Diğer varlıklar

Güvenlik konuları için, Azure kimlik ve erişim yönetimi konularınabaşvurun.

Ana makaleye geri dön: veri koruma

Sonraki adımlar

Şifreleme yoluyla, bekleyen ve geçiş sırasında verileri koruyun. Standart şifreleme algoritmaları kullandığınızdan emin olun.

Veri şifreleme

Şifreleme, erişimi kısıtladığından güvenlik için önemli bir araçtır. Ancak verilere erişim sağlayan gizli dizi (anahtarlar, sertifikalar) anahtarının korunması aynı şekilde önemlidir.

Önemli noktalar

  • Şifreleme anahtarları yerine kimlik tabanlı erişim denetimi kullanın.
  • Standart ve önerilen şifreleme algoritmalarını kullanın.
  • Anahtarları ve gizli dizileri yönetilen Anahtar Kasası hizmetinde depolayın. Erişim modeliyle denetim izinleri.
  • Anahtarları ve diğer gizli dizileri sık sık döndürün. Süre aşımına uğrayan veya güvenliği aşılmış gizli dizileri değiştirin.

Kimlik tabanlı erişim denetimi

Kuruluşlar kendi şifreleme algoritmalarını geliştirmemelidir ve korumamalıdır. Kullanılabilir depolama kaynakları üzerinde erişim denetimi sağlamanın birçok yolu vardır, örneğin:

  • Paylaşılan anahtarlar
  • Paylaşılan imzalar
  • Anonim erişim
  • Kimlik sağlayıcısı tabanlı Yöntemler

Güvenli standartlar piyasadaki zaten mevcut ve tercih edilmelidir. AES, simetrik blok şifresi,, AES-128AES-192 ve kabul edilebilir olarak kullanılmalıdır AES-256 . İşletim sistemlerinde yerleşik olan şifreleme API 'Leri, platform dışı şifreleme kitaplıkları yerine mümkün olduğunda kullanılmalıdır. .NET için .net şifreleme modeliniizlediğinizden emin olun.

Şifreleme anahtarları üzerinde bir iş yükünün kimlik hizmetleri aracılığıyla kimlik doğrulaması önceliklendirmenize mi?