Meilleures pratiques de gestion des secrets dans Key Vault

Azure Key Vault vous permet de stocker en toute sécurité des informations d’identification de services ou d’applications, comme des mots de passe et des clés d’accès, sous forme de secrets. Tous les secrets de votre coffre de clés sont chiffrés à l’aide d’une clé logicielle. Lorsque vous utilisez Key Vault, vous n’avez plus besoin de stocker des informations de sécurité dans vos applications. Ne pas avoir à stocker les informations de sécurité dans les applications élimine le besoin d’intégrer ces informations au code.

Exemples de secrets qui doivent être stockés dans Key Vault :

  • Secrets des applications clientes
  • Chaînes de connexion
  • Mots de passe
  • Clés d’accès (Redis Cache, Azure Event Hubs, Azure Cosmos DB)
  • Clés SSH

Toutes les autres informations sensibles, comme les adresses IP, les noms de service et d’autres paramètres de configuration, doivent être stockées dans Azure App Configuration plutôt que dans Key Vault.

Chaque coffre de clés individuel définit les limites de sécurité pour les secrets. Pour un coffre de clés unique par application, par région et par environnement, nous vous recommandons de prévoir une isolation granulaire des secrets pour une application.

Pour plus d’informations sur les meilleures pratiques concernant Key Vault, consultez Meilleures pratiques pour utiliser Key Vault.

Configuration et stockage

Stockez les informations d’identification requises pour accéder à la base de données ou au service dans la valeur secrète. Dans le cas d’informations d’identification composées, comme le nom d’utilisateur/mot de passe, vous pouvez les stocker sous la forme d’une chaîne de connexion ou d’un objet JSON. Les autres informations requises pour la gestion doivent être stockées dans des balises, par exemple la configuration de la rotation.

Pour plus d’informations sur les secrets, consultez À propos des secrets Azure Key Vault.

Rotation des secrets

Les secrets sont souvent stockés dans la mémoire de l’application en tant que variables d’environnement ou paramètres de configuration pendant tout le cycle de vie de l’application, ce qui les rend sensibles à une exposition indésirable. Étant donné que les secrets sont sensibles à la fuite ou à l’exposition, il est important de les renouveler souvent, au moins tous les 60 jours.

Pour plus d’informations sur le processus de renouvellement des secrets, consultez Automatiser la permutation d’un secret pour des ressources qui ont deux jeux d’informations d’authentification.

Accès et isolement réseau

Vous pouvez réduire l’exposition de vos coffres en spécifiant les adresses IP qui y ont accès. Configurez votre pare-feu de manière à n’autoriser que les applications et les services connexes à accéder aux secrets du coffre afin de réduire la capacité des attaquants à accéder aux secrets.

Pour plus d’informations sur la sécurité du réseau, consultez Configurer les paramètres de mise en réseau d’Azure Key Vault.

En outre, les applications doivent utiliser le droit d’accès minimal en ne disposant que de l’accès en lecture des secrets. L’accès aux secrets peut être contrôlé soit par des stratégies d’accès, soit par le contrôle d’accès en fonction du rôle Azure.

Pour plus d’informations sur le contrôle d’accès dans Azure Key Vault, consultez :

Limites et mise en cache du service

Key Vault a initialement été créé avec les limitations décrites dans Limites du service Azure Key Vault. Pour maximiser vos débits, voici deux meilleures pratiques recommandées :

  • Mettez les secrets en cache dans votre application pendant au moins huit heures.
  • Implémentez une logique de nouvelle tentative avec backoff exponentiel pour gérer les scénarios lorsque les limites de service sont dépassées.

Pour plus d’informations sur les limitations, consultez Aide sur la limitation de requêtes Azure Key Vault.

Surveillance

Pour surveiller l’accès à vos secrets et leur cycle de vie, activez la journalisation de Key Vault. Utilisez Azure Monitor pour surveiller sur la même plateforme toutes les activités liées aux secrets dans tous vos coffres. Vous pouvez aussi utiliser Azure Event Grid pour surveiller le cycle de vie des secrets, car il s’intègre facilement à Azure Logic Apps et Azure Functions.

Pour plus d’informations, consultez :

Sauvegarde et protection contre le vidage

Activez la protection contre la purge pour bénéficier d’une protection contre la suppression volontaire ou accidentelle des secrets. Dans les scénarios où la protection de purge n’est pas une option possible, nous vous recommandons de recréer des secrets de sauvegarde, qui ne peuvent pas être recréés à partir d’autres sources.

En savoir plus