Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Key Vault speichert Geheimnisse wie vertrauliche Anwendungsanmeldeinformationen, darunter Kennwörter, Verbindungszeichenfolgen und Zugriffsschlüssel. Dieser Artikel enthält Sicherheitsempfehlungen speziell für die Verwaltung geheimer Schlüssel.
Hinweis
Dieser Artikel konzentriert sich auf Sicherheitspraktiken in Bezug auf Key Vault Geheimnisse. Umfassende Key Vault Sicherheitsleitfaden, einschließlich Netzwerksicherheit, Identitäts- und Zugriffsverwaltung und Tresorarchitektur, finden Sie unter Secure your Azure Key Vault.
Was als Geheimnisse gespeichert werden sollte
Azure Key Vault Secrets dienen zum Speichern von Dienst- oder Anwendungsanmeldeinformationen. Speichern Sie die folgenden Datentypen als geheime Schlüssel:
- Anwendungsanmeldeinformationen: Geheimnisse der Clientanwendung, API-Schlüssel, Anmeldeinformationen des Dienstprinzipals
- Verbindungszeichenfolgen: Datenbankverbindungszeichenfolgen, Verbindungszeichenfolgen für Speicherkonten
- Kennwörter: Dienst-Kennwörter, Anwendungs-Kennwörter
- Access-Schlüssel: Redis Cacheschlüssel, Azure Event Hubs Schlüssel, Azure Cosmos DB Schlüssel, Azure Storage Schlüssel
- SSH-Schlüssel: Private SSH-Schlüssel für den sicheren Shellzugriff
Von Bedeutung
Speichern Sie keine Konfigurationsdaten in Key Vault. IP-Adressen, Dienstnamen, Featurekennzeichnungen und andere Konfigurationseinstellungen sollten in Azure App Configuration und nicht in Key Vault gespeichert werden. Key Vault ist für kryptografische Geheimschlüssel und nicht für die allgemeine Konfigurationsverwaltung optimiert.
Weitere Informationen zu geheimen Schlüsseln finden Sie unter About Azure Key Vault secrets.
Geheimes Speicherformat
Befolgen Sie beim Speichern von geheimen Schlüsseln in Key Vault die folgenden bewährten Formatierungsmethoden:
Speichern Sie zusammengesetzte Anmeldeinformationen ordnungsgemäß: Für Anmeldeinformationen mit mehreren Komponenten (z. B. Benutzername/Kennwort) speichern Sie sie unter:
- Eine ordnungsgemäß formatierte Verbindungszeichenfolge oder
- Ein JSON-Objekt, das die Anmeldeinformationskomponenten enthält
Verwenden Sie Tags für Metadaten: Speichern Sie Verwaltungsinformationen wie Rotationszeitpläne, Ablaufdaten und Besitz in geheimen Tags und nicht im geheimen Wert selbst.
Minimieren Sie die Größe des geheimen Schlüssels: Halten Sie geheime Werte präzise. Große Nutzlasten sollten in Azure Storage mit Verschlüsselung gespeichert werden, wobei ein Key Vault Schlüssel zur Verschlüsselung und ein Key Vault Geheimer Schlüssel für das Speicherzugriffstoken verwendet wird.
Geheimnisrotation
Geheime Schlüssel, die in Anwendungsspeicher- oder Konfigurationsdateien gespeichert sind, bleiben für den gesamten Anwendungslebenszyklus erhalten, wodurch das Risiko der Exposition erhöht wird. Führen Sie regelmäßige Geheimnisrotation durch, um das Risiko einer Kompromittierung zu minimieren.
- Rotieren Sie geheime Schlüssel regelmäßig: Wechseln Sie geheime Schlüssel häufig gemäß der Sicherheitsrichtlinie Ihrer Organisation und der Sensibilität der Anmeldeinformationen. Kürzere Drehintervalle (z. B. 60-90 Tage) verringern das Expositionsrisiko durch kompromittierte Geheimnisse.
- Automatische Drehung: Verwenden der Drehungsfunktionen von Azure Key Vault zum Automatisieren des Drehvorgangs
- Verwenden Sie doppelte Anmeldeinformationen: Implementieren Sie für eine Rotation ohne Ausfallzeiten Ressourcen mit zwei Sets von Anmeldeinformationen.
Weitere Informationen zur Rotation von Geheimnissen finden Sie unter:
- Automatisieren Sie die Geheimnisrotation für Ressourcen mit einem Satz von Authentifizierungsdaten
- Automatisieren Sie die Secret-Rotation für Ressourcen mit zwei Sets von Anmeldeinformationen
Zwischenspeichern von Secrets und Leistung
Key Vault erzwingt Dienstbeschränkungen, um Missbrauch zu verhindern. So optimieren Sie den geheimen Zugriff bei gleichzeitiger Sicherheit:
- Cache secrets in memory: Zwischenspeicherung von Geheimnissen in Ihrer Anwendung, um Key Vault-API-Aufrufe zu reduzieren und Drosselung zu vermeiden. Verwenden Sie zwischengespeicherte Werte nach Möglichkeit wieder, und aktualisieren Sie sie, wenn geheime Schlüssel gedreht werden. Weitere Informationen finden Sie unter dem Azure Key Vault Throttling-Leitfaden.
- Implementieren Sie eine Wiederholungslogik: Verwenden Sie eine exponentiell abbrechende Wiederholungslogik, um vorübergehende Ausfälle und Drosselungen zu handhaben.
- Aktualisierung bei Rotation: Aktualisieren Sie zwischengespeicherte Werte, wenn Secrets rotiert werden, um sicherzustellen, dass Anwendungen aktuelle Anmeldeinformationen verwenden.
Überwachung von Geheimnissen
Aktivieren Sie die Überwachung, um geheime Zugriffsmuster nachzuverfolgen und potenzielle Sicherheitsprobleme zu erkennen:
- Enable Key Vault Logging: Protokollieren Sie alle geheimen Zugriffsvorgänge, um nicht autorisierte Zugriffsversuche zu erkennen. Siehe Azure Key Vault Logging
- Event Grid Benachrichtigungen einrichten: Überwachen Sie Secret-Lebenszyklus-Ereignisse (erstellt, aktualisiert, abgelaufen, kurz vor Ablauf) für automatisierte Workflows. Siehe Azure Key Vault als Ereignisrasterquelle
- Configure alerts: Richten Sie Azure Monitor Warnungen für verdächtige Zugriffsmuster oder fehlgeschlagene Authentifizierungsversuche ein. Siehe Monitoring und Warnung für Azure Key Vault
- Regelmäßigen Überprüfen des Zugriffs: Regelmäßig überwachen, wer Zugriff auf geheime Schlüssel hat und unnötige Berechtigungen entfernen
Verwandte Sicherheitsartikel
- Secure your Azure Key Vault - Umfassende Key Vault Sicherheitsleitfaden
- Secure your Azure Key Vault keys – Bewährte Methoden für kryptografische Schlüssel
- Secure your Azure Key Vault certificates – Bewährte Methoden für Sicherheit für Zertifikate