Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Key Vault consente di archiviare in modo sicuro le credenziali del servizio o dell'applicazione, ad esempio password e chiavi di accesso come segreti. Tutti i segreti nel tuo deposito di chiavi vengono crittografati con una chiave software. Quando si usa Key Vault, non è più necessario archiviare le informazioni di sicurezza nelle applicazioni. Non dover archiviare le informazioni di sicurezza nelle applicazioni elimina la necessità di rendere queste informazioni parte del codice.
Esempi di segreti che devono essere archiviati in Key Vault:
- Segreti dell'applicazione client
- Stringhe di connessione
- Password
- Chiavi di accesso (Cache Redis, Hub eventi di Azure, Azure Cosmos DB)
- Chiavi SSH
Qualsiasi altra informazione sensibile, ad esempio indirizzi IP, nomi di servizio e altre impostazioni di configurazione, deve essere archiviata in Configurazione app di Azure anziché in Key Vault.
Ogni singolo Key Vault definisce i limiti di sicurezza per i segreti. Per un singolo insieme di credenziali delle chiavi per applicazione, per area, per ambiente, è consigliabile fornire un isolamento granulare dei segreti per un'applicazione.
Per altre informazioni sulle procedure consigliate per Key Vault, vedere Procedure consigliate per l'uso di Key Vault.
Configurazione e archiviazione
Archiviare le informazioni sulle credenziali necessarie per accedere al database o al servizio nel valore del segreto. Nel caso di credenziali composte come nome utente/password, può essere archiviato come stringa di connessione o oggetto JSON. Altre informazioni necessarie per la gestione devono essere archiviate nei tag, ad esempio la configurazione della rotazione.
Per altre informazioni sui segreti, vedere Informazioni sui segreti di Azure Key Vault.
Rotazione dei segreti
I segreti vengono spesso archiviati nella memoria dell'applicazione come variabili di ambiente o impostazioni di configurazione per l'intero ciclo di vita dell'applicazione, che li rende sensibili all'esposizione indesiderata. Poiché i segreti sono sensibili alla perdita o all'esposizione, è importante ruotarli spesso, almeno ogni 60 giorni.
Per altre informazioni sul processo di rotazione dei segreti, vedere Automatizzare la rotazione di un segreto per le risorse con due set di credenziali di autenticazione.
Accesso e isolamento di rete
È possibile ridurre l'esposizione degli insiemi di credenziali specificando gli indirizzi IP che possono accedervi. Configurare il firewall per consentire alle applicazioni e ai servizi correlati di accedere ai segreti nell'insieme di credenziali per ridurre la capacità degli utenti malintenzionati di accedere ai segreti.
Per altre informazioni sulla sicurezza di rete, vedere Configurare le impostazioni di rete di Azure Key Vault.
Inoltre, le applicazioni devono seguire l'accesso con privilegi minimi avendo solo il permesso di leggere i segreti. L'accesso ai segreti può essere controllato con i criteri di accesso o con il controllo degli accessi in base al ruolo di Azure.
Per altre informazioni sul controllo di accesso in Azure Key Vault, vedere:
- Fornire l'accesso a chiavi, certificati e segreti di Key Vault con il controllo degli accessi in base al ruolo di Azure
- Assegnare criteri di accesso a Key Vault
Limiti del servizio e memorizzazione nella cache
Key Vault è stato originariamente creato con limiti di limitazione specificati nei limiti del servizio Azure Key Vault. Per ottimizzare la velocità effettiva, ecco due procedure consigliate:
- Memorizzare nella cache i segreti nell'applicazione per almeno otto ore.
- Implementare la logica di ripetizione dei tentativi di back-off esponenziale per gestire gli scenari in cui vengono superati i limiti del servizio.
Per altre informazioni sulle linee guida per la limitazione delle richieste, vedere Linee guida per la limitazione delle richieste di Azure Key Vault.
Monitoraggio
Per monitorare l'accesso ai tuoi segreti e al loro ciclo di vita, attiva la registrazione di Key Vault. Usare Monitoraggio di Azure per monitorare tutte le attività dei segreti in tutti gli insiemi di credenziali in un'unica posizione. In alternativa, usare Griglia di eventi di Azure per monitorare il ciclo di vita dei segreti, perché offre un'integrazione semplice con App per la logica di Azure e Funzioni di Azure.
Per altre informazioni, vedere:
- Azure Key Vault come origine di Griglia di eventi
- Registrazione di Azure Key Vault
- Monitoraggio e avvisi per Azure Key Vault
Backup e protezione dalla rimozione definitiva
Attivare la protezione dall'eliminazione per proteggersi da eliminazioni dannose o accidentali dei segreti. Negli scenari in cui la protezione dall'eliminazione non è una possibile opzione, è consigliabile eseguire il backup dei segreti che non possono essere ricreati da altre origini.