Impostazioni avanzate di Key Vault

Implementare Azure Security per sviluppatori

Anushika Agarwal

Cloud Data Engineer

Entra ID gestisce l’autenticazione di Key Vault

  • Primo passo per accedere a Key Vault = Autenticazione
  • Key Vault usa Microsoft Entra ID per l’autenticazione

Microsoft Entra ID

Implementare Azure Security per sviluppatori

Tipi di identità in Key Vault

  • Utente: una persona

Utente

  • Gruppo: un insieme di utenti

Gruppo

  • Service Principal: identità di un’app o servizio

Service Principal

Implementare Azure Security per sviluppatori

Metodi di autenticazione delle app

  • Managed Identity (consigliato)
    • Niente secret, gestita da Azure

Managed Identity

  • Registrazione app
    • Configurazione manuale, credenziali richieste

Registrazione app

Implementare Azure Security per sviluppatori

Autorizzazione in Key Vault

  • Dopo l’autenticazione, l’autorizzazione definisce cosa puoi fare

  • Azure offre due modelli di autorizzazione: Access Policies e RBAC

Autenticazione e autorizzazione in Azure Key Vault

Implementare Azure Security per sviluppatori

Access policies (legacy)

  • Controlla solo il data plane (dentro Key Vault)
  • Nessun controllo sul management plane o su chi può gestire il vault

Access Policies (legacy)

Implementare Azure Security per sviluppatori

RBAC: Role-Based Access Control (consigliato)

  • Controlla l’accesso a
    • Management Plane: il vault
    • Data Plane: Keys, Secrets, Certificates
  • Supporta PIM, MFA, Accesso Condizionale

Azure RBAC (consigliato)

Implementare Azure Security per sviluppatori

Soft delete

Stato attuale:

  • Gli elementi eliminati possono causare gravi disservizi

Soft Delete attivo:

  • Gli elementi eliminati diventano recuperabili
  • Protegge da eliminazioni accidentali o malevole

Soft Delete

Implementare Azure Security per sviluppatori

Dove si applica il soft delete?

  • Vault

Azure Key Vault

  • Keys

    Chiavi

    • Secrets

    Secret

  • Certificates

Certificati

Implementare Azure Security per sviluppatori

Configurazione del soft delete

  • Durata di conservazione: 7-90 giorni (predefinito: 90)
  • Abilitato per impostazione predefinita nei nuovi vault
  • Non disattivabile dopo la configurazione

Soft Delete

Implementare Azure Security per sviluppatori

Purge protection

  • Purge = eliminazione permanente senza recupero
  • Blocca le eliminazioni definitive durante la conservazione
  • Nemmeno gli admin possono eseguire il purge

Purge Protection

Implementare Azure Security per sviluppatori

Dove si applica la purge protection?

  • Vault

Azure Key Vault

  • Keys

    Chiavi

  • Secrets

    Secret

  • Certificates

Certificati

Implementare Azure Security per sviluppatori

Configurazione della purge protection

  • Configurazione
    • Durata di conservazione: 7-90 giorni (predefinito: 90)
    • Richiede che Soft Delete sia abilitato
    • Non disattivabile dopo la configurazione

Purge Protection

Implementare Azure Security per sviluppatori

Best practice

  • Progetta per l’isolamento

    • Usa vault separati

    Isolamento

  • Controlla l’accesso

    • Accesso solo a utenti e app fidati

    Controlla l’accesso

  • Abilita la resilienza
    • Attiva i backup dopo aggiornamenti o eliminazioni
    • Abilita Soft Delete e Purge Protection

  • Monitora l’attività

    • Abilita log diagnostici e avvisi

    Monitoraggio

Implementare Azure Security per sviluppatori

Ayo berlatih!

Implementare Azure Security per sviluppatori

Preparing Video For Download...