Scoprire le procedure consigliate per Azure Key Vault
Azure Key Vault è uno strumento che consente di archiviare i segreti e di accedervi in modo sicuro. Un segreto è qualsiasi elemento per cui si vuole controllare rigorosamente l'accesso, ad esempio chiavi API, password o certificati. Un insieme di credenziali è un gruppo logico di segreti.
Authentication
Per eseguire qualsiasi operazione con Key Vault, è prima necessario eseguire l'autenticazione. È possibile eseguire l'autenticazione a Key Vault in tre modi diversi:
Identità gestite per le risorse di Azure: quando si distribuisce un'app in una macchina virtuale in Azure, è possibile assegnare un'identità alla macchina virtuale che ha accesso a Key Vault. È anche possibile assegnare identità ad altre risorse di Azure. Il vantaggio di questo approccio è che l'app o il servizio non gestisce la rotazione del primo segreto. Azure ruota automaticamente il segreto client dell'entità servizio associato all'identità. Questo approccio è la procedura consigliata.
Entità servizio e certificato: è possibile usare un'entità servizio e un certificato associato che ha accesso a Key Vault. Questo approccio non è consigliabile perché è il proprietario o lo sviluppatore dell'applicazione a dover ruotare il certificato.
Entità servizio e segreto: anche se è possibile usare un'entità servizio e un segreto per eseguire l'autenticazione a Key Vault, questo approccio non è consigliabile. La rotazione automatica del segreto bootstrap usato per l'autenticazione a Key Vault è un'operazione complessa.
Crittografia dei dati in transito
Azure Key Vault applica il protocollo TLS (Transport Layer Security) per proteggere i dati durante il percorso tra Azure Key Vault e i client. I client negoziano una connessione TLS con Azure Key Vault. Il protocollo TLS offre autenticazione avanzata, riservatezza dei messaggi e integrità (abilitando il rilevamento di manomissioni, intercettazioni e falsificazioni di messaggi), interoperabilità, flessibilità degli algoritmi e facilità di distribuzione e di utilizzo.
Perfect Forward Secrecy (PFS) protegge le connessioni tra i sistemi client dei clienti e i servizi cloud di Microsoft con chiavi univoche. Le connessioni usano anche lunghezze di chiavi di crittografia basate a 2.048 bit basate su RSA. Questa combinazione rende difficile ad altri utenti intercettare e accedere ai dati in transito.
Procedure consigliate per Azure Key Vault
Usare insiemi di credenziali delle chiavi separati: è consigliabile usare un insieme di credenziali per ogni applicazione per ogni ambiente (sviluppo, pre-produzione e produzione). Questo criterio consente di non condividere i segreti tra gli ambienti e di ridurre anche la minaccia in caso di violazione.
Controllare l'accesso all'insieme di credenziali: poiché i dati di Key Vault sono sensibili e importanti per l'azienda, è necessario proteggere gli insiemi di credenziali delle chiavi consentendo l'accesso solo ad applicazioni e utenti autorizzati.
Backup: eseguire backup regolari dell'insieme di credenziali durante l'aggiornamento, l'eliminazione o la creazione di oggetti in un insieme di credenziali.
Registrazione: assicurarsi di attivare la registrazione e gli avvisi.
Opzioni di ripristino: attivare la protezione da eliminazione temporanea e permanente per proteggersi dall'eliminazione forzata del segreto.