Sécurisez vos secrets Azure Key Vault

Azure Key Vault secrets stockent les informations d’identification d’application sensibles telles que les mots de passe, les chaînes de connexion et les clés d’accès. Cet article fournit des recommandations de sécurité spécifiques à la gestion des secrets.

Note

Cet article se concentre sur les pratiques de sécurité propres à Key Vault secrets. Pour obtenir des conseils de sécurité complets Key Vault, notamment la sécurité réseau, la gestion des identités et des accès et l’architecture du coffre, consultez Secure your Azure Key Vault.

Que stocker en tant que secrets

Azure Key Vault secrets sont conçus pour stocker les informations d’identification du service ou de l’application. Stockez les types de données suivants en tant que secrets :

Informations d’identification de l’application : secrets d’application client, clés API, informations d’identification du principal de service
Chaînes de connexion : chaînes de connexion de base de données, chaînes de connexion de compte de stockage
Mots de passe : mots de passe de service, mots de passe d’application
clés Access : clés du cache Redis, clés Azure Event Hubs, clés Azure Cosmos DB, clés stockage Azure
Clés SSH : clés SSH privées pour l’accès à l’interpréteur de commandes sécurisé

Important

Ne stockez pas les données de configuration dans Key Vault. Les adresses IP, les noms de service, les indicateurs de fonctionnalité et d’autres paramètres de configuration doivent être stockés dans Azure App Configuration plutôt que dans Key Vault. Key Vault est optimisé pour les secrets de chiffrement, et non pour la gestion générale de la configuration.

Pour plus d’informations sur les secrets, consultez About Azure Key Vault secrets.

Format de stockage secrets

Lorsque vous stockez des secrets dans Key Vault, suivez les bonnes pratiques de mise en forme suivantes :

Stocker correctement les informations d’identification composées : pour les informations d’identification avec plusieurs composants (comme le nom d’utilisateur/mot de passe), stockez-les comme suit :
- Un chaîne de connexion correctement mis en forme ou
- Objet JSON contenant les composants d’informations d’identification
Utilisez des balises pour les métadonnées : stockez des informations de gestion telles que les planifications de rotation, les dates d’expiration et la propriété dans les balises secrètes plutôt que dans la valeur secrète elle-même.
Réduire la taille des secrets : conservez les valeurs secrètes concises. Les charges utiles volumineuses doivent être stockées dans stockage Azure avec chiffrement, à l’aide d’une clé Key Vault pour le chiffrement et d’un secret Key Vault pour le jeton d’accès de stockage.

Rotation des secrets

Les secrets stockés dans la mémoire de l’application ou les fichiers de configuration persistent pour l’ensemble du cycle de vie de l’application, ce qui augmente le risque d’exposition. Implémentez une rotation régulière des secrets pour réduire le risque de compromission :

Changer les informations sensibles régulièrement : changez les informations sensibles fréquemment en fonction de la stratégie de sécurité de votre organisation et de la sensibilité des identifiants. Les intervalles de rotation plus courts (par exemple, 60 à 90 jours) réduisent le risque d’exposition des secrets compromis.
Rotationautomate : utilisez les fonctionnalités de rotation de Azure Key Vault pour automatiser le processus de rotation
Utiliser des informations d’identification doubles : pour la rotation sans temps d’arrêt, implémentez des ressources avec deux ensembles d’informations d’identification d’authentification

Pour plus d’informations sur la rotation des secrets, consultez :

Mise en cache et performances des secrets

Key Vault applique des limites de service pour prévenir les abus. Pour optimiser l’accès aux secrets tout en conservant la sécurité :

Cacher les secrets en mémoire : cachez les secrets dans votre application pour réduire les appels d’API Key Vault et éviter la limitation. Réutilisez les valeurs mises en cache dans la mesure du possible et actualisez-les lorsque les secrets sont renouvelés. Pour davantage de détails, consultez les recommandations relatives à la limitation d’Azure Key Vault.
Implémenter la logique de nouvelle tentative : utiliser la logique de nouvelle tentative avec back-off exponentiel pour gérer les échecs temporaires et les limitations.
Actualiser lors de la rotation : Mettre à jour les valeurs mises en cache lorsque les secrets sont pivotés pour garantir que les applications utilisent les informations d’identification actuelles

Surveillance des secrets

Activez la surveillance pour suivre les modèles d’accès secret et détecter les problèmes de sécurité potentiels :

Activer l'enregistrement de Key Vault : enregistrer toutes les opérations d'accès aux secrets pour détecter les tentatives d'accès non autorisées. Consultez Azure Key Vault logs
Configurez les notifications Event Grid : surveillez les événements du cycle de vie des secrets (création, mise à jour, arrivée à expiration et proche de l'expiration) pour les flux de travail automatisés. Consultez Azure Key Vault comme source Event Grid
Configurez les alertes : configurez des alertes Azure Monitor pour les modèles d’accès suspects ou les tentatives d’authentification ayant échoué. Consultez La surveillance et l'alerte pour Azure Key Vault
Passer en revue régulièrement l’accès : auditez régulièrement qui a accès aux secrets et supprimez les autorisations inutiles

Sécurisez votre Azure Key Vault - Guide complet de sécurité pour Key Vault
Secure your Azure Key Vault keys - Meilleures pratiques de sécurité pour les clés de chiffrement
Secure your Azure Key Vault certificates - Meilleures pratiques de sécurité pour les certificats

Étapes suivantes

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-04-10