Key Vault'ta gizli dizi yönetimi için en iyi yöntemler
Azure Key Vault, parolalar ve erişim anahtarları gibi hizmet veya uygulama kimlik bilgilerini güvenli bir şekilde gizli dizi olarak depolamanıza olanak tanır. Anahtar kasanızdaki tüm gizli diziler bir yazılım anahtarıyla şifrelenir. Key Vault'u kullandığınızda, artık uygulamalarınızda güvenlik bilgilerini depolamanız gerekmez. Uygulamalarda güvenlik bilgilerini depolamak zorunda kalmak, bu bilgileri kodun bir parçası yapma gereksinimini ortadan kaldırır.
Key Vault'ta depolanması gereken gizli dizi örnekleri:
- İstemci uygulama gizli dizileri
- Bağlantı dizeleri
- Parolalar
- Erişim anahtarları (Redis Cache, Azure Event Hubs, Azure Cosmos DB)
- SSH anahtarları
IP adresleri, hizmet adları ve diğer yapılandırma ayarları gibi diğer hassas bilgiler Key Vault yerine Azure Uygulaması Yapılandırmasında depolanmalıdır.
Her bir anahtar kasası gizli diziler için güvenlik sınırlarını tanımlar. Uygulama başına, bölge ve ortam başına tek bir anahtar kasası için, bir uygulama için gizli dizilerin ayrıntılı yalıtımını sağlamanızı öneririz.
Key Vault için en iyi yöntemler hakkında daha fazla bilgi için bkz . Key Vault'un kullanımına yönelik en iyi yöntemler.
Yapılandırma ve depolama
Veritabanına veya hizmete erişmek için gereken kimlik bilgisi bilgilerini gizli dizi değerinde depolayın. Kullanıcı adı/parola gibi bileşik kimlik bilgileri söz konusu olduğunda, bağlantı dizesi veya JSON nesnesi olarak depolanabilir. Yönetim için gerekli olan diğer bilgiler etiketlerde,yani döndürme yapılandırmasında depolanmalıdır.
Gizli diziler hakkında daha fazla bilgi için bkz . Azure Key Vault gizli dizileri hakkında.
Gizli dizi dönüşü
Gizli diziler genellikle uygulama belleğinde ortam değişkenleri veya tüm uygulama yaşam döngüsü için yapılandırma ayarları olarak depolanır ve bu da onları istenmeyen maruziyete karşı hassas hale getirir. Gizli diziler sızıntı veya açığa çıkarma konusunda hassas olduğundan, bunları en az 60 günde bir sık sık döndürmek önemlidir.
Gizli dizi döndürme işlemi hakkında daha fazla bilgi için bkz . İki kimlik doğrulama kimlik bilgisi kümesine sahip kaynaklar için gizli dizi döndürmeyi otomatikleştirme.
Erişim ve ağ yalıtımı
Hangi IP adreslerinin bunlara erişimi olduğunu belirterek kasalarınızın görünür olmasını azaltabilirsiniz. Güvenlik duvarınızı, saldırganların gizli dizilere erişme becerisini azaltmak için yalnızca uygulamaların ve ilgili hizmetlerin kasadaki gizli dizilere erişmesine izin verecek şekilde yapılandırın.
Ağ güvenliği hakkında daha fazla bilgi için bkz . Azure Key Vault ağ ayarlarını yapılandırma.
Ayrıca, uygulamalar yalnızca gizli dizileri okuma erişimine sahip olarak en az ayrıcalıklı erişimi izlemelidir. Gizli dizilere erişim, erişim ilkeleriyle veya Azure rol tabanlı erişim denetimiyle denetlenebilir.
Azure Key Vault'ta erişim denetimi hakkında daha fazla bilgi için bkz:
- Azure rol tabanlı erişim denetimiyle Key Vault anahtarlarına, sertifikalarına ve gizli dizilerine erişim sağlama
- Key Vault erişim ilkesi atama
Hizmet sınırları ve önbelleğe alma
Key Vault başlangıçta Azure Key Vault hizmet sınırları içinde belirtilen azaltma sınırlarıyla oluşturulmuştur. Aktarım hızınızı en üst düzeye çıkarmak için önerilen iki en iyi yöntem şunlardır:
- Uygulamanızdaki gizli dizileri en az sekiz saat boyunca önbelleğe alın.
- Hizmet sınırları aşıldığında senaryoları işlemek için üstel geri alma yeniden deneme mantığını uygulayın.
Azaltma kılavuzu hakkında daha fazla bilgi için bkz . Azure Key Vault azaltma kılavuzu.
İzleme
Gizli dizilerinize ve bunların yaşam döngüsüne erişimi izlemek için Key Vault günlüğünü açın. Tüm kasalarınızdaki tüm gizli dizi etkinliklerini tek bir yerde izlemek için Azure İzleyici'yi kullanın. Azure Logic Apps ve Azure İşlevleri ile kolay tümleştirmeye sahip olduğundan gizli dizilerin yaşam döngüsünü izlemek için Azure Event Grid'i de kullanabilirsiniz.
Daha fazla bilgi için bkz.
- Event Grid kaynağı olarak Azure Key Vault
- Azure Key Vault günlüğü
- Azure Key Vault için izleme ve uyarı
Yedekleme ve temizleme koruması
Gizli dizilerin kötü amaçlı veya yanlışlıkla silinmesine karşı korunmak için temizleme korumasını açın. Temizleme korumasının olası bir seçenek olmadığı senaryolarda, diğer kaynaklardan yeniden oluşturulamaz yedekleme gizli dizileri önerilir.