使用 Azure Key Vault 的最佳做法

Azure Key Vault 可以保護加密金鑰和祕密 (例如憑證、連接字串和密碼)。 本文可協助您最佳化金鑰保存庫的使用。

使用個別的金鑰保存庫

我們的建議是根據每個環境 (開發、生產前和生產) 每個應用程式使用一個保存庫。 這可協助您跨環境和區域共用秘密。 其也會在出現缺口時減少威脅。

為什麼我們建議個別的金鑰保存庫

金鑰保存庫會定義所儲存秘密的安全性界限。 將秘密分組成相同的保存庫會增加安全性事件的爆炸半徑 ，因為攻擊能夠無需顧慮存取秘密。 若要緩解無需顧慮的存取，請考慮特定應用程式應該可以存取哪些秘密，然後根據此描述來分隔您的金鑰保存庫。 依應用程式分隔金鑰保存庫是最常見的界限。 不過，對於大型應用程式而言，安全性界限可能更細微，例如，根據相關服務的群組。

控制保存庫的存取

加密金鑰和秘密 (例如憑證、連接字串和密碼) 都是敏感性和業務關鍵的。 您必須藉由只允許授權的應用程式和使用者，來保護金鑰保存庫的存取。 Azure Key Vault 安全性功能提供 Key Vault 存取模型的概觀。 其會說明驗證與授權。 也會描述如何保護金鑰保存庫的存取。

控制保存庫存取的建議如下：

• 鎖定訂用帳戶、資源群組和金鑰保存庫的存取 (角色型存取控制 (RBAC))。
• 建立每個保存庫的存取原則。
• 使用最低權限存取原則來授與存取權。
• 開啟防火牆和虛擬網路服務端點。

備份

請務必定期備份您的保存庫。 在保存庫中更新、刪除或建立物件時，應該執行備份。

Azure PowerShell 備份命令

• BACKUP CERTIFICATE
• 備份金鑰
• 備份祕密

Azure CLI 備份命令

• BACKUP CERTIFICATE
• 備份金鑰
• 備份祕密

開啟記錄功能

針對保存庫開啟記錄。 同時設定警示。

開啟復原選預

• 開啟虛刪除。
• 如果即使在開啟虛刪除之後，您仍想要防範強制刪除秘密和金鑰保存庫，請開啟清除保護。

深入了解

• Key Vault 中密碼管理的最佳做法