Erkunden der bewährten Methoden für Azure Key Vault
Azure Key Vault ist ein Tool zum sicheren Speichern von Geheimnissen und Zugreifen darauf. Als Geheimnis werden alle Elemente bezeichnet, für die Sie den Zugriff streng kontrollieren möchten, z.B. API-Schlüssel, Kennwörter oder Zertifikate. Ein Tresor ist eine logische Gruppe von Geheimnissen.
Authentifizierung
Sie müssen sich zuerst authentifizieren, um Vorgänge mit Key Vault durchführen zu können. Es gibt drei Möglichkeiten für die Authentifizierung bei Key Vault:
Verwaltete Identitäten für Azure-Ressourcen: Wenn Sie eine App auf einer VM in Azure bereitstellen, können Sie Ihrer VM eine Identität zuweisen, die Zugriff auf den Key Vault hat. Sie können Identitäten auch anderen Azure-Ressourcen zuweisen. Der Vorteil bei dieser Vorgehensweise ist, dass die App bzw. der Dienst die Drehung des ersten Geheimnisses nicht verwaltet. Azure rotiert automatisch das Clientgeheimnis des Dienstprinzipals für die Identität. Als bewährte Methode wird diese Vorgehensweise empfohlen.
Dienstprinzipal und Zertifikat: Sie können einen Dienstprinzipal und ein zugehöriges Zertifikat verwenden, das Zugriff auf Key Vault hat. Diese Vorgehensweise wird nicht empfohlen, da der Besitzer oder Entwickler der Anwendung das Zertifikat drehen muss.
Dienstprinzipal und Geheimnis: Obwohl Sie einen Dienstprinzipal und ein Geheimnis zur Authentifizierung bei Key Vault verwenden können, wird diese Vorgehensweise nicht empfohlen. Es ist schwierig, das Bootstrapgeheimnis, das zur Authentifizierung bei Key Vault verwendet wird, automatisch zu drehen.
Verschlüsselung von Daten während der Übertragung
Von Azure Key Vault wird die Verwendung des TLS-Protokolls (Transport Layer Security) erzwungen, damit Daten geschützt sind, wenn sie zwischen Azure Key Vault und den Clients übertragen werden. Clients handeln eine TLS-Verbindung mit Azure Key Vault aus. TLS bietet strenge Authentifizierung, Datenschutz von Nachrichten und Integrität (ermöglicht die Erkennung von Manipulation, Abfangen und Fälschung von Nachrichten), Interoperabilität, Algorithmusflexibilität sowie einfache Bereitstellung und Verwendung.
Perfect Forward Secrecy (PFS) schützt Verbindungen zwischen den Clientsystemen von Kunden und den Clouddiensten von Microsoft durch eindeutige Schlüssel. Die Verbindungen verwenden zudem RSA-basierte Verschlüsselungsschlüssellängen von 2.048 Bit. Diese Kombination erschwert das Abfangen von Daten während der Übertragung und den Zugriff darauf.
Bewährte Methoden zum Verwenden von Key Vault
Verwenden von separaten Schlüsseltresoren: Wir empfehlen, einen Tresor pro Anwendung und Umgebung (Entwicklung, Vorproduktion und Produktion) zu verwenden. Dieses Muster hilft Ihnen, Geheimnisse nicht über Umgebungen hinweg auszutauschen, und verringert auch die Bedrohung bei einer Sicherheitsverletzung.
Steuern des Zugriffs auf Ihren Tresor: Key Vault-Daten sind vertraulicher und unternehmenskritischer Natur. Sie müssen den Zugriff auf Ihre Schlüsseltresore schützen, indem Sie nur autorisierte Anwendungen und Benutzer zulassen.
Sicherung: Erstellen Sie regelmäßige Sicherungen Ihres Tresors, wenn dafür Objekte aktualisiert, gelöscht oder erstellt werden.
Protokollierung: Achten Sie darauf, die Protokollierung und Warnungen zu aktivieren.
Wiederherstellungsoptionen: Aktivieren Sie das vorläufige Löschen und den Löschschutz, wenn Sie sich vor der erzwungenen Löschung des Geheimnisses schützen möchten.