Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Gevoelige toepassingsreferenties zoals wachtwoorden, verbindingsreeksen en toegangssleutels worden opgeslagen in Azure Key Vault geheimen. Dit artikel bevat beveiligingsaanveling die specifiek is voor geheimenbeheer.
Opmerking
Dit artikel is gericht op beveiligingsprocedures die specifiek zijn voor Key Vault geheimen. Zie Beveilig uw Azure Key Vault voor uitgebreide Key Vault-beveiligingsrichtlijnen, waaronder netwerkbeveiliging, identiteits- en toegangsbeheer en kluisarchitectuur.
Wat moet ik opslaan als geheimen?
Azure Key Vault geheimen zijn ontworpen voor het opslaan van service- of toepassingsreferenties. Sla de volgende typen gegevens op als geheimen:
- Toepassingsreferenties: cliëntapplicatiegeheimen, API-sleutels, service-principal-referenties
- Verbindingsreeksen: databaseverbindingsreeksen, verbindingsreeksen voor opslagaccounts
- Wachtwoorden: Servicewachtwoorden, toepassingswachtwoorden
- Access-sleutels: Redis Cache-sleutels, Azure Event Hubs-sleutels, Azure Cosmos DB-sleutels, Azure Storage-sleutels
- SSH-sleutels: Persoonlijke SSH-sleutels voor beveiligde shell-toegang
Belangrijk
Sla geen configuratiegegevens op in Key Vault. IP-adressen, servicenamen, functievlagmen en andere configuratie-instellingen moeten worden opgeslagen in Azure App Configuration in plaats van in Key Vault. Key Vault is geoptimaliseerd voor cryptografische geheimen, niet voor algemeen configuratiebeheer.
Zie Over Azure Key Vault geheimen voor meer informatie over geheimen.
Indeling voor de opslag van geheimen
Als u geheimen opslaat in Key Vault, volgt u deze aanbevolen procedures voor opmaak:
Sla samengestelde referenties op de juiste manier op: Voor referenties met meerdere onderdelen (zoals gebruikersnaam/wachtwoord), slaat u deze op als:
- Een correct opgemaakte verbindingsreeks of
- Een JSON-object met de referentieonderdelen
Gebruik tags voor metagegevens: beheerinformatie opslaan, zoals rotatieschema's, vervaldatums en eigendom in geheime tags in plaats van in de geheime waarde zelf.
Minimaliseer de geheime grootte: houd geheime waarden beknopt. Grote payloads moeten worden opgeslagen in Azure Storage met versleuteling, met behulp van een Key Vault-sleutel voor versleuteling en een Key Vault-secret voor het toegangstoken voor opslag.
Rotatie van geheimen
Geheimen die zijn opgeslagen in toepassingsgeheugen of configuratiebestanden, blijven behouden voor de volledige levenscyclus van de toepassing, waardoor het risico op blootstelling toeneemt. Implementeer regelmatig geheimrotatie om compromisrisico's te minimaliseren:
- Regelmatig geheimen roteren: roteer geheimen regelmatig op basis van het beveiligingsbeleid van uw organisatie en de gevoeligheid van de referentie. Kortere rotatieintervallen (bijvoorbeeld 60-90 dagen) verminderen het blootstellingsrisico van gecompromitteerde geheimen.
- Automate rotatie: gebruik de draaimogelijkheden van Azure Key Vault om het rotatieproces te automatiseren
- Gebruik dubbele referenties: implementeer resources met twee sets verificatiereferenties voor rotatie zonder downtime
Zie voor meer informatie over het roteren van geheimen:
- Geheimenrotatie voor resources automatiseren met een enkele set authenticatiegegevens
- Geheimrotatie voor resources automatiseren met twee sets verificatiereferenties
Geheimen opslaan in cache en prestaties
Key Vault dwingt servicelimieten af om misbruik te voorkomen. Om toegang tot geheimen te optimaliseren en de beveiliging te behouden:
- Cache-geheimen in het geheugen: Cachegeheimen in uw toepassing om Key Vault API-aanroepen te verminderen en beperking te voorkomen. Gebruik waar mogelijk waarden in de cache opnieuw en vernieuw ze wanneer geheimen worden geroteerd. Zie voor meer informatie de Azure Key Vault throtteling richtlijnen.
- Implementeer herhalingslogica: Gebruik exponentiële back-off-herstelpogingen om tijdelijke fouten en drosseling te verwerken
- Vernieuwen bij rotatie: waarden in cache bijwerken wanneer geheimen worden geroteerd om ervoor te zorgen dat toepassingen de huidige referenties gebruiken
Geheimen bewaken
Schakel bewaking in om geheime toegangspatronen bij te houden en potentiële beveiligingsproblemen te detecteren:
- Enable Key Vault logging: Alle geheime toegangsbewerkingen vastleggen om pogingen tot onbevoegde toegang te detecteren. Zie Azure Key Vault logging
- Event Grid-meldingen instellen: gebeurtenissen voor de levenscyclus van geheimen bewaken (gemaakt, bijgewerkt, verlopen, bijna verlopen) voor geautomatiseerde werkstromen. Zie Azure Key Vault als Event Grid-bron
- Waarschuwingen configureren: stel Azure Monitor waarschuwingen in voor verdachte toegangspatronen of mislukte verificatiepogingen. Zie Bewaking en waarschuwingen voor Azure Key Vault
- Controleer regelmatig de toegang: controleer regelmatig wie toegang heeft tot geheimen en verwijder onnodige machtigingen
Verwante beveiligingsartikelen
- Secure your Azure Key Vault - Uitgebreide Key Vault beveiligingsrichtlijnen
- Beveilig uw Azure Key Vault sleutels - Aanbevolen beveiligingsprocedures voor cryptografische sleutels
- Uw Azure Key Vault-certificaten beveiligen - Aanbevolen beveiligingsprocedures voor certificaten