Secret-Regeln
Erfahren Sie, wie Sie Regeln für Vault Secrets konfigurieren, die ihre Verwendung regeln.
Informationen zum Konfigurieren oder Anzeigen von Regeln finden Sie unter Secrets verwalten. Wenn Sie ein Secret erstellen, können Sie die folgenden Regeltypen konfigurieren:
- Secret-Wiederverwendungsregel. Dieser Regeltyp verhindert die Wiederverwendung von Secret-Inhalten in verschiedenen Versionen eines Secrets.
- Secret-Ablaufregel. Dieser Regeltyp schränkt ein, wie lange die Secret-Inhalte einer bestimmten Secret-Version verwendet werden können. Diese Regel kann auch das Abrufen von Secret-Inhalten für ein Secret oder eine Secret-Version nach dem konfigurierten Ablaufdatum sperren.
Konfigurieren Sie eine oder beide dieser Secret-Regeln, um Best Practices in Bezug auf die Sicherheit zu gewährleisten. Sie können Ihren Sicherheitsstatus verbessern, indem Sie Secrets bearbeiten, die nicht den Regeln entsprechen oder im Falle von Ablaufregeln Gefahr laufen, diese zu gegebener Zeit zu verletzen.
Secrets werden im Ruhezustand mit der Verschlüsselungsgarantie eines HSM geschützt, das den Vault sichert, in dem das Secret erstellt und gespeichert wird. Dieses HSM entspricht der Sicherheitszertifizierung nach Federal Information Processing Standards (FIPS) 140-2 der Sicherheitsebene 3. Im Anwendungsspeicher könnte ein Secret jedoch kompromittiert werden. Die Verhinderung der Wiederverwendung von Secret-Inhalten durch mehrere Secret-Versionen dient dazu, den Umfang der betroffenen Ressourcen im Falle einer Sicherheitsverletzung im Zusammenhang mit den gespeicherten Zugangsdaten zu begrenzen. Wenn nur eine Ressource die Secret-Inhalte einer Secret-Version verwendet, ist nur diese Ressource von einer Verletzung betroffen. Sie können eine Secret-Version verwerfen und dann löschen, wenn Sie feststellen, dass die sichere Verwendung der Secret-Inhalte nicht mehr gewährleistet ist. Sie können festlegen, ob Secret-Wiederverwendungsregeln auch für gelöschte Secret-Versionen gelten.
Genauso kann das Konfigurieren einer Ablaufregel, bei der Sie angeben, wie lange eine Secret-Version existieren darf, dabei helfen, die Auswirkungen einer potenziellen Sicherheitsverletzung zu begrenzen. Je länger die Zugangsdaten verwendet werden, desto mehr Zeit hat ein Angreifer, darauf zuzugreifen oder sie zu entschlüsseln. Das häufige Aktualisieren eines Secrets mit neuen Secret-Inhalten trägt dazu bei, die Zugangsdaten vor Benutzern mit böswilligen Absichten zu schützen. Zumindest verkürzen Sie damit den Zeitraum, in dem kompromittierte Zugangsdaten unwissentlich verwendet oder verbreitet werden können. Sie können eine Secret-Version so konfigurieren, dass sie nach 1 bis 90 Tagen abläuft. Das Secret kann jedoch auch eine absolute Ablaufzeit zwischen 1 und 365 Tagen nach dem Erstellungsdatum haben. Sie können einen oder beide dieser Werte konfigurieren. Außerdem können Sie entscheiden, ob die Secret-Inhalte nach dem Ablaufdatum gesperrt werden.
Der Timer für die Ablaufregel eines Secrets wird entsprechend dem konfigurierten Intervall zurückgesetzt. Es gibt kein Verfahren zum Aktualisieren der Secret-Inhalte. Sie müssen die Secret-Version manuell rotieren.