Site icon Blog ARC Optimizer

Configurez un coffre-fort Azure, ajoutez des secrets

Configurez un coffre-fort Azure, ajoutez des secrets


Votre organisation a des secrets qu’ils ne veulent même pas que vous sachiez, mais que votre demande le fait. Azure Key Vaults peut vous rendre heureux, vous et votre organisation, alors comment en mettre un.

Dans les articles précédents, le code que j’ai montré pour construire une application de cloud-native sécurisée dans Azure qui a inclus ID utilisateur pour usurper l’identité des identités gérées et des informations d’identification pour réclamer les inscriptions des applicationsentre autres informations confidentielles que je ne veux pas partager avec tous ceux qui peuvent consulter mon code (et, franchement, que mon employeur préférerait ne pas partager même avec moi).

L’endroit approprié pour mettre tout ce que vous voulez garder secret est dans un coffre-fort Azure. Azure fournit deux types de coffres Vaults HSMS gérés. Pour ce post, je vais juste utiliser le coffre-fort standard.

Le nom «Key Vault» fait référence aux paires de valeurs clés que les clés utilisent pour stocker les articles (texte, certificats et – à la recherche d’un point de vue de dénomination – cryptage clés). Une fois que vous avez ajouté un élément de valeur clé à un coffre-fort clé, la seule chose que vous devez intégrer dans votre application est la clé liée à la valeur désormais secrète. Maintenant, toute personne qui considère votre code ne voit que la clé utilisée pour récupérer l’élément dans le coffre-fort et non le secret lui-même.

Créer un coffre-fort clé

De toute évidence, pour profiter de cette fonctionnalité, vous devez d’abord créer un coffre-fort clé. Les seules choses que vous souhaitez accéder à vos secrets sont les composants de votre application. Cependant, comme toute personne ou chose qui a accès à un coffre-fort a à peu près accès à tous les secrets de votre coffre-fort, vous devez supposer que vous devrez créer un coffre-fort distinct pour chaque application (ou même chaque microservice) que vous créez.

Les bases

Pour créer un coffre-fort clé, commencez par entrer Voûte clé dans la zone de texte de recherche en haut de la page du portail Azure et sélectionner Voûtes clés quand il apparaît dans la liste déroulante. Sur la page clés des coffres, à l’extrémité gauche du menu en haut de la page, cliquez sur le + Créer Choix du menu pour démarrer l’assistant Créer un Vault clé.

Sur la première page de l’assistant, vous devrez attribuer votre coffre-fort à un abonnementun région et un groupe de ressources. Pour mon étude de cas, j’ai mis le coffre-fort clé dans le même abonnement, région (Canada Central) et un groupe de ressources (Entrepôts) comme les autres ressources de mon application.

Vous devrez également donner un nom à votre coffre-fort – ce nom finit par faire partie d’une URL afin que vous ne puissiez pas utiliser des espaces ou d’autres caractères peu amis de l’URL dans le nom (la page vous permettra cependant d’utiliser des lettres audges et inférieures dans le nom). J’ai utilisé Warehousemgmtvault pour le nom de mon coffre-fort.

Prix

Votre prochain choix est le prix et, pour un coffre-fort clé, vous n’avez que deux choix: standard ou premium. La tarification premium vous donne accès aux clés protégées par le matériel (pas la même chose qu’un coffre-fort protégé par le matériel) et des niveaux de chiffrement plus élevés pour vos secrets stockés, le tout à un coût plus élevé. Étant à la fois bon marché et confiant que personne ne s’intéresse à mon étude de cas, j’ai choisi prix standard et le chiffrement par défaut.

Rétention

Ensuite, vous devrez définir la protection de votre coffre-fort contre les suppressions accidentelles. Au niveau des clés du coffre-fort, vous pouvez continuer à supprimer des coffres-clés supprimés pendant un nombre spécifié de jours après avoir été supprimés. Vous ne pouvez pas désactiver complètement ceci: le nombre minimum de jours est de sept et le maximum est de 90 (la valeur par défaut). Étant donné que mon coordon pour mon étude de cas est petit (je vais stocker deux clés et, finalement, un certificat), rarement accessible et je ne serai probablement jamais supprimé de toute façon, j’ai pris le défaut 90 jours.

En plus de ce niveau de protection «Vault entier», vous avez également une protection de suppression au niveau clé. Avec un coffre-fort, vous ne supprimez pas réellement les clés – vous remplacez simplement la touche actuelle par une nouvelle version. Toute version précédente de la clé est conservée pour la période de protection du coffre-fort, sauf si vous purgez des versions plus anciennes. Ce versioning vous permet d’auditer toutes les modifications de vos clés (c’est-à-dire quelqu’un qui modifie une clé en une nouvelle valeur, puis de la modifier à la valeur d’origine après avoir fait quelque chose de néfaste).

Si vous le souhaitez, vous pouvez empêcher que toute clé d’être purgée en activant la protection des purges (si vous allumez cela, vous ne peut pas Éteignez-le). En effet, cela signifie que vous ne pourrez pas effacer complètement aucune clé jusqu’à ce que la dernière version supprimée atteigne la fin de votre période de suppression. En développement, où vous essayez probablement une variété de clés avant de vous installer sur celles dont vous avez besoin, je ferais une protection de purge Désactivé Pour que vous n’ayez pas à garder la clé, vous décidez que vous n’aurez pas besoin jusqu’à la fin de votre période de purge. Je vais cependant activer la protection de purge pour tout saut clé utilisé dans la production (et vous pourriez décider de l’avoir dans les deux environnements).

Enfin, par défaut, vous avez beaucoup de protection contre la perte de votre coffre-fort. Votre coffre-fort a à la fois une protection de basculement dans votre région et, dans presque toutes les régions, une protection de basculement de la région appariée de votre région (les exceptions sont les régions qui n’ont pas de région appariée – actuellement qui inclut le Brésil et l’Ouest US 3, par exemple). Vous pouvez vous offrir une protection supplémentaire par Télécharger des articles individuels dans le stockage local.

Contrôle d’accès

Une fois que vous avez rempli la première page de votre assistant, en cliquant sur le Suivant Le bouton en bas de la page vous amènera à l’onglet Configuration d’accès du coffre-fort. Laissant le Modèle d’autorisation sur Accès basé sur les rôles azure Vous permettra d’utiliser des identités gérées pour contrôler l’accès aux éléments de la voûte (ce que j’ai choisi).

J’ai sauté à la fin de l’assistant à ce stade en cliquant sur le Examen + créer bouton en bas de la page. Sur cette dernière page, en cliquant sur le Créer Le bouton créera votre coffre-fort.

Ajout d’articles

Votre prochaine étape consiste à ajouter un ou plusieurs articles à votre coffre-fort. Avant de pouvoir le faire, vous devrez attribuer le rôle de l’administrateur de Vault clé à un utilisateur afin que quelqu’un ait la possibilité d’ajouter / supprimer / modifier les éléments dans le coffre-fort (la personne qui crée le coffre-fort ne reçoit pas cette autorisation par défaut).

Cette personne peut être vous en développement, mais, en production, il est important que quiconque gère les articles de saut n’est pas quelqu’un qui accède à ces articles ou accorde la permission d’accéder à ces articles. Il s’agit simplement de «Banking Fraud Protection 101» – chaque activité devrait impliquer deux personnes. La personne autorisée à créer des éléments dans le coffre-fort, par exemple, ne devrait pas être une personne autorisée à utiliser ces éléments pour accéder aux données de l’entreprise.

Je couvrirai l’ajout et la récupération des certificats dans un article ultérieur et couvrirai simplement l’ajout de texte confidentiel dans ce post. Les valeurs de texte sont ce que Key Vault appelle un «secret» – un mot de passe, un identifiant client ou un texte que vous ne souhaitez pas intégrer dans votre code – et vous les ajoutez comme ceci:

  1. Dans le menu de votre Vault clé à gauche, percez à travers Objets et sélectionnez le Secrets Node pour ouvrir la liste des secrets dans le coffre-fort à droite.
  2. À l’extrémité gauche du menu en haut de la nouvelle page, cliquez sur le + Générer / Importer choix d’ouvrir une nouvelle page.
  3. Dans la nouvelle page, laissez le Options de téléchargement liste déroulante en haut de la page définie sur Manuel.
  4. Dans le Nom Textbox ci-dessous cette liste déroulante, entrez le nom de votre secret. Ce nom doit être adapté à l’URL (c’est-à-dire pas d’espaces ou de marques de ponctuation peu amicales – j’ai utilisé Dbaccessidentity).
  5. Dans le Valeur secrète Textbox ci-dessous, entrez la valeur de votre secret (j’ai copié et collé l’ID utilisateur de l’identité gérée qui donne accès à ma base de données Azure SQL)
  6. Dans le Type de contenu TextBox, vous pouvez, éventuellement, inclure une indication du type de données que vous stockez dans la valeur secrète. Cela agit comme un indice pour la lecture de code le secret pour aider à analyser votre secret (par exemple, si votre valeur secrète est un document JSON, vous pouvez mettre «JSON» dans cette zone de texte). Je l’ai laissé vide.
  7. Facultativement, vous pouvez également définir une «date non disponible avant» (appelée «Date d’activation») ou un «non disponible après la date» (appelé «date d’expiration»), ou désactiver le secret pour être utilisé.

Étapes suivantes

Un conseil: bon nombre des façons d’accès aux clés dans le coffre-fort vous permettent d’utiliser un préfixe pour vos valeurs de clés. Le cas d’utilisation le plus courant pour l’utilisation des préfixes est de distinguer les secrets utilisés dans votre système de test par rapport aux secrets utilisés dans votre système de production (par exemple, «100 dbaccessidentity» pour maintenir la valeur du test et «200 dbaccessidentity» pour maintenir votre valeur de production).

Le problème ici pour moi est que plus il y a de personnes qui ont accès à un coffre-fort particulier, plus il est probable que les secrets de ce coffre-fort soient composés. De la même manière que vous devriez probablement configurer des clés clés distincts pour chaque projet, c’est probablement une bonne idée d’avoir des voûtes clés distinctes pour votre système de développement (géré par les développeurs) et votre système de production (géré par votre équipe OPS ou les administrateurs système). Vous pouvez également tirer parti de celui-ci pour utiliser un coffre-fort à prix standard en développement et le HSM plus cher, un coffre-fort à prix supérieur en production.

Cependant, dans cette série, je ne suis intéressé que par la façon d’utiliser les informations confidentielles de mon coffre-fort dans mon application. Dans mes prochains articles, je couvrirai comment autoriser uniquement votre application à accéder à votre coffre-fort clé et comment vos applications côté serveur et côté client peuvent accéder à la fois sur les secrets et les certificats.

Le meilleur outil 2023 pour ta croissance Instagram !



Source link
Quitter la version mobile