Где хранить пароль для Azure хранилища ключей?

Question

У меня есть Java приложение для весенней загрузки (war), которое упаковано в контейнер и работает на Kubernetes в Microsoft Azure.

Недавно мы переместили все наши пароли в Azure хранилище ключей, чтобы сделать все это безопасным, но теперь возникает вопрос, где хранить пароль (основной ключ службы) для самого хранилища ключей Azure?

Кроме того, ключевые учетные данные хранилища (участники службы) задаются средой c для сред DEV, UAT и PROD.

Я думал о шифровании пароля, но тогда вопрос, где поставить ключ шифрования? Должна быть хотя бы одна отправная точка, где пароль хранится не так надежно.

Кроме того, я не хочу использовать какие-либо сторонние библиотеки, которые не из надежного источника, например, о Jasypt не может быть и речи.

Есть идеи?

Answer 1

Один из способов - сохранить Keyvault ID, Secret и URI в переменных среды вашего веб-приложения. Более безопасный способ - использовать идентификаторы управляемых служб, когда вы просто используете имя keyvault, и ваше приложение подключается к keyvault, если для Azure указаны соответствующие разрешения для веб-приложения. Таким образом, вы можете легко и безопасно получить переменные keyvault. Подробнее здесь: https://docs.microsoft.com/en-us/samples/azure-samples/app-service-msi-keyvault-dotnet/keyvault-msi-appservice-sample/