10 migliori pratiche per la gestione delle chiavi API
Le chiavi API sono fondamentali per proteggere l'accesso ai tuoi sistemi, ma una loro gestione impropria può portare a violazioni come l'incidente di Capital One nel 2019 o l'esposizione dei dati di Uber nel 2018.
Ecco 10 pratiche chiave per garantire la sicurezza delle tue chiavi API:
- Usa crittografia avanzata: Applicare AES-256 per le chiavi memorizzate e TLS 1.3+ per la trasmissione.
- Imposta limiti di accesso chiari: Seguire il principio del privilegio minimo con il controllo degli accessi basato sui ruoli (RBAC).
- Pianificare aggiornamenti regolari delle chiavi: Ruotare le chiavi ogni 30-90 giorni a seconda del livello di rischio.
- Conserva le chiavi in modo sicuro: Utilizzare strumenti di gestione dei segreti come AWS Secrets Manager o HashiCorp Vault.
- Traccia l'utilizzo delle chiavi: Monitora parametri quali volume delle richieste, tassi di errore e dati geografici.
- Limiti di richiesta di controllo: Implementare limiti di velocità a più livelli per prevenire abusi.
- Tieni le chiavi fuori dal lato client: Utilizzare proxy lato server e autenticazione basata su token.
- Controllare la sicurezza del server: Server API sicuri con firewall, segmentazione di rete e monitoraggio.
- Rivedere regolarmente l'utilizzo delle chiavi: Verificare mensilmente i modelli di accesso e le autorizzazioni.
- Piano per la rimozione rapida delle chiavi: Avere una dashboard centralizzata e script automatizzati per le emergenze.
Suggerimento rapido: Crittografa le chiavi, monitora il loro utilizzo e ruotale regolarmente per ridurre i rischi. Utilizza strumenti come i gateway API per l'automazione e un controllo avanzato.
Queste pratiche, se combinate, creano una solida difesa per la tua infrastruttura API. Inizia a implementarle oggi stesso per proteggere i tuoi dati e mantenere la fiducia degli utenti.
Best practice per l'autenticazione tramite chiave API
1. Utilizzare una crittografia avanzata
La crittografia è un elemento fondamentale per mantenere sicure le chiavi API, proteggendole durante l'archiviazione e la trasmissione. Per garantire un'elevata sicurezza, si consiglia di applicare Crittografia AES-256 per le chiavi API archiviate e TLS 1.3 o superiore per i dati in transito.
Combinando AES-256 per l'archiviazione e TLS 1.3+ per la trasmissione, si crea un solido livello di sicurezza che integra, e non sostituisce, i controlli di accesso adeguati.
Ad esempio, la Data Control Tower 2024 di Delphix migliora la sicurezza utilizzando la crittografia AES/GCM con chiavi derivate da nomi host e URL, eliminando la necessità di memorizzare le chiavi di crittografia sul file system.
Per proteggere ulteriormente le chiavi API, prendi in considerazione queste pratiche:
- Utilizzare moduli di sicurezza hardware (HSM) con crittografia envelope
- Applicare la perfetta segretezza in avanti separando le chiavi nei diversi ambienti
Tenete presente che il successo della crittografia dipende in larga misura dalla corretta gestione delle chiavi e dall'applicazione di rigidi controlli di accesso.
| Tipo di crittografia | Standard consigliato |
|---|---|
| Simmetrico | AES |
| Asimmetrico | RSA |
| Hashing | SHA-256/SHA-3 |
| Firme digitali | ECDSA |
2. Imposta limiti di accesso chiari
La crittografia aiuta a proteggere le chiavi quando vengono archiviate o trasmesse, ma controlli di accesso assicurati che vengano usati solo correttamente. Attieniti al principio del privilegio minimo: dai a ogni chiave solo i permessi di cui ha bisogno per svolgere la sua funzione.
Utilizzo controllo degli accessi basato sui ruoli (RBAC) per assegnare permessi specifici a ruoli diversi. Ad esempio, un ruolo di "sola lettura" potrebbe consentire solo richieste GET, mentre un ruolo di "amministratore" potrebbe avere permessi CRUD completi. Ecco alcuni modi chiave per limitare l'accesso in modo efficace:
- Limiti a livello di risorsa: Limita l'accesso a endpoint o tabelle dati specifici.
- Controlli basati sull'azione: Consenti solo determinati metodi HTTP (ad esempio, GET, POST, PUT, DELETE).
- Separazione dell'ambiente: Assegna chiavi diverse per gli ambienti di sviluppo, staging e produzione.
- Restrizioni basate sul tempo: Utilizzare le date di scadenza per l'accesso temporaneo.
- Elenco IP consentiti: Limita l'accesso a specifici indirizzi IP o intervalli.
- Isolamento specifico delle funzionalità: Assicurarsi che le chiavi siano collegate a funzioni specifiche, come gli aggiornamenti dell'inventario, senza esporre i dati dei clienti.
| Livello di accesso | Autorizzazioni tipiche | Caso d'uso |
|---|---|---|
| Di sola lettura | Solo richieste GET | Strumenti di analisi dei dati |
| Standard | Richieste GET, POST | Integrazioni di terze parti |
| Amministratore | Accesso CRUD completo | Sistemi interni |
| Temporaneo | Accesso a tempo limitato | Appaltatore o utilizzo a breve termine |
Un ottimo esempio è il sistema di gestione delle chiavi API di Stripe. Consente agli sviluppatori di creare chiavi riservate con permessi altamente specifici. Ciò garantisce un'integrazione sicura con servizi di terze parti, mantenendo al contempo un controllo rigoroso sull'accesso.
Prendi l'abitudine di controllare mensilmente i permessi delle chiavi API. L'uso di gateway API può aiutare ad automatizzare questi controlli e tracciare i modelli di utilizzo per una maggiore sicurezza.
3. Pianificare aggiornamenti regolari delle chiavi
Limitare l'uso improprio delle chiavi con rigidi controlli di accesso è essenziale, ma chiavi che ruotano regolarmente è altrettanto importante per affrontare potenziali violazioni. Il programma di rotazione dovrebbe corrispondere al livello di rischio del tuo sistema: ruotare le chiavi ogni 90 giorni per i sistemi a rischio moderato e ogni 30 giorni per i sistemi ad alta sicurezza.
L'automazione è la chiave per rotazioni fluide. Molte organizzazioni utilizzano processi graduali per gestire questo in modo efficace:
| Livello di rischio | Intervallo di rotazione | Periodo di sovrapposizione |
|---|---|---|
| Alto rischio | 30 giorni | 24 ore |
| Rischio moderato | 90 giorni | 48 ore |
Per evitare interruzioni, utilizzare un sistema di periodo di grazia dove le vecchie e le nuove chiavi si sovrappongono temporaneamente. Ciò garantisce la continuità del servizio mentre i sistemi aggiornano le proprie credenziali. Ad esempio, AWS Secrets Manager supporta rotazioni automatizzate con un periodo di sovrapposizione di 24 ore incorporato.
Gli elementi essenziali della rotazione chiave includono:
- Chiavi con versione con dettagli di scadenza
- Avvisi per modelli di utilizzo insoliti
- Meccanismi di failover automatizzati
- Strumenti di gestione integrati per semplificare le operazioni
Per i sistemi distribuiti, distribuisci gli aggiornamenti in modo incrementale. Inizia con i servizi non critici ed estendi gradualmente ai sistemi core. Questo approccio graduale aiuta a identificare i problemi in anticipo, riducendo al minimo i rischi per le operazioni critiche.
Per i sistemi che richiedono elevata disponibilità, valutare l'implementazione della gestione delle chiavi su più regioni o data center. Serverion'S hosting multi-regione l'infrastruttura è un ottimo esempio, consentendo rotazioni a zero tempi di inattività anche durante interruzioni o manutenzione. Ciò garantisce un accesso ininterrotto ai servizi di rotazione chiave.
4. Conservare le chiavi in modo sicuro
Mantenere sicure le chiavi API è fondamentale per evitare violazioni dei dati e accessi non autorizzati. Un chiaro esempio di cosa può andare storto è la violazione dei dati di Twitch del 2021, in cui gli hacker hanno ottenuto l'accesso alle chiavi API archiviate nei repository del codice sorgente. Ciò evidenzia come le corrette pratiche di archiviazione siano direttamente collegate alla sicurezza complessiva. Mentre la Sezione 3 ha discusso la rotazione delle chiavi, questa sezione si concentra su come archiviare le chiavi in modo sicuro.
Ecco come puoi proteggere le tue chiavi API:
- Utilizzare gli strumenti di gestione dei segreti
Le piattaforme specializzate per la gestione dei segreti forniscono funzionalità di sicurezza avanzate come crittografia e controlli di accesso. Alcune opzioni popolari includono:
| Servizio | Caratteristiche principali | Il migliore per |
|---|---|---|
| Caveau di HashiCorp | Gestione centralizzata dei segreti | Grandi imprese |
| Responsabile dei segreti di AWS | Rotazione automatica della chiave | Applicazioni basate su cloud |
| Archivio chiavi di Azure | Supporto HSM, funzionalità di conformità | Ecosistemi Microsoft |
Per le configurazioni ibride, prendi in considerazione soluzioni con hosting multi-regione per garantire ridondanza e sicurezza in tutte le sedi.
- Chiavi di crittografia
Crittografa sempre le chiavi API, sia che siano archiviate o trasmesse. Per gli ambienti sensibili, l'utilizzo di Hardware Security Module (HSM) aggiunge un ulteriore livello di protezione.
Durante lo sviluppo, archivia le chiavi nelle variabili di ambiente e, per la produzione, usa file di configurazione crittografati. Per i sistemi distribuiti, strumenti come AWS Systems Manager Parameter Store possono gestire i parametri in modo sicuro.
Quando si condividono chiavi API all'interno dei team, emettere chiavi temporanee con autorizzazioni limitate. Abilitare la registrazione per monitorare l'accesso e configurare avvisi in tempo reale per qualsiasi attività insolita.
5. Traccia l'utilizzo delle chiavi
Mentre l'archiviazione sicura mantiene le chiavi al sicuro quando non sono in uso (vedere Sezione 4), il monitoraggio attivo del loro utilizzo garantisce che vengano gestite correttamente durante il transito. Ad esempio, nel 2024, un fornitore SaaS ha bloccato gli attacchi di credential stuffing individuando un picco di 812% nelle richieste da regioni non familiari, in soli 7 minuti.
Metriche chiave da tenere d'occhio
| Tipo metrico | Cosa monitorare | Perché è importante |
|---|---|---|
| Volume di richiesta | Numero di chiamate API | Aiuta a identificare attività insolite |
| Tassi di errore | Richieste non riuscite, errori di autenticazione | Evidenzia potenziali problemi di sicurezza |
| Dati geografici | Richiedi origini | Rileva l'accesso da posizioni sospette |
| Tempi di risposta | Latenza della richiesta API | Garantisce la conformità con gli accordi di servizio |
| Stato di rotazione della chiave | Orari di rotazione e aggiornamenti | Mantiene aggiornata la gestione delle chiavi |
Come implementare il monitoraggio in tempo reale
Utilizza strumenti come lo stack ELK per l'analisi dei log, abbinato all'analisi del gateway API, per ottenere informazioni utili sull'utilizzo dei principali elementi.
Segnali di pericolo da tenere d'occhio
Ecco alcuni segnali di allarme che potrebbero indicare rischi per la sicurezza:
- Picchi o cali improvvisi nel volume delle richieste
- Tentativi di accesso da posizioni inaspettate
- Attività insolita fuori orario
Integrazione del monitoraggio con gli strumenti di sicurezza
Collega i tuoi sistemi di monitoraggio agli strumenti di sicurezza esistenti per risposte automatiche alle minacce. Ad esempio, puoi implementare la limitazione dinamica della velocità in base alle tendenze di utilizzo storiche.
Imposta avvisi automatici per comportamenti sospetti. Questo monitoraggio in tempo reale funziona di pari passo con le rotazioni programmate (vedi Sezione 3) per identificare e revocare rapidamente le chiavi compromesse.
sbb-itb-59e1987
6. Limiti delle richieste di controllo
Dopo aver analizzato i dati di monitoraggio (come discusso nella Sezione 5), impostare limiti di richiesta appropriati è essenziale per salvaguardare la tua infrastruttura API. Ad esempio, la limitazione dinamica della velocità di Stripe del 2021 ha visto un 32% calo nei tentativi di abuso API mentre aumenta il traffico legittimo 65%[1].
Come impostare limiti di velocità effettivi
| Tipo di limite | Intervallo di tempo | Scopo |
|---|---|---|
| A breve termine | Al secondo/minuto | Gestire picchi di traffico improvvisi |
| A medio termine | Ogni ora | Regolamentazione dei modelli di utilizzo tipici |
| A lungo termine | Giornaliero/mensile | Limitare il consumo complessivo delle risorse |
Un approccio a strati funziona meglio. Ad esempio, potresti configurare:
- 5 richieste al secondo
- 1.000 richieste all'ora
- 10.000 richieste al giorno
Questa combinazione bilancia la protezione immediata con l'uso sostenibile delle risorse.
Tattiche di limitazione della velocità più intelligenti
Invece di bruschi tagli, prendi in considerazione di avvisare gli utenti. Utilizza le intestazioni API per avvisare dell'avvicinarsi dei limiti prima che entri in vigore l'applicazione.
Rispondere alle violazioni dei limiti
Quando gli utenti superano i loro limiti, invia risposte HTTP 429 (Troppe richieste) con dettagli chiari e fruibili. Ad esempio:
{ "error": "Limite di velocità superato", "current_usage": 1050, "limit": 1000, "reset_time": "2025-02-18T15:00:00Z", "retry_after": 3600 } Ciò aiuta gli utenti a comprendere il problema e a pianificare di conseguenza.
Adattamento dinamico dei limiti
Regola automaticamente i limiti di velocità in base alle prestazioni del server e al comportamento dell'utente:
- Ridurre i limiti se l'utilizzo della CPU del server supera 80%
- Aumentare i limiti per gli utenti fidati che rispettano costantemente le policy
- Aumentare temporaneamente i limiti per gli eventi programmati ad alto traffico
Strumenti come Redis per il monitoraggio delle richieste e l'algoritmo token bucket possono aiutare a gestire efficacemente i flussi di richiesta. Queste strategie, combinate con il monitoraggio (Sezione 5) e la rotazione (Sezione 3), creano un sistema di difesa completo per la tua API.
7. Tenere le chiavi fuori dal lato client
Nel 2018, un incidente di alto profilo ha evidenziato i rischi dell'archiviazione delle chiavi sul lato client. Ciò serve a ricordare perché le pratiche di gestione delle chiavi sicure, come quelle descritte nella Sezione 4, non sono negoziabili.
Perché l'archiviazione lato client è rischiosa
L'archiviazione delle chiavi sul lato client può comportare diversi vulnerabilità della sicurezzaEcco una ripartizione dei rischi comuni e come mitigarli:
| Rischio | Come prevenirlo |
|---|---|
| Esposizione del codice sorgente | Utilizzare un proxy sicuro lato server per gestire le operazioni sensibili. |
| Accesso non autorizzato | Implementare l'autenticazione basata su token per verificare gli utenti. |
| Sfruttamento delle quote | Applicare una limitazione della velocità per controllare l'utilizzo dell'API. |
| Problemi di conformità | Convalida i token per soddisfare gli standard normativi e di sicurezza. |
Suggerimento: utilizzare i metodi di monitoraggio della Sezione 5 per identificare e affrontare questi rischi in modo efficace.
Come impostare un proxy backend sicuro
Un proxy backend assicura che le chiavi API rimangano nascoste al client. Ecco un esempio di come implementarne uno usando Node.js:
const express = require('express'); const axios = require('axios'); require('dotenv').config(); const app = express(); const API_KEY = process.env.API_KEY; app.get('/api/data', async (req, res) => { try { const response = await axios.get('https://api.example.com/data', { headers: { 'Authorization': `Bearer ${API_KEY}` } }); res.json(response.data); } catch (error) { res.status(500).json({ error: 'Si è verificato un errore' }); } }); Questa configurazione garantisce che la chiave API venga archiviata in modo sicuro sul server e non venga mai esposta al client.
Autenticazione basata su token: un approccio più intelligente
L'autenticazione basata su token non solo migliora la sicurezza, ma semplifica anche la gestione delle chiavi. Ecco come funziona:
- Convalida le credenziali del cliente per garantire che solo gli utenti autorizzati possano accedere alla tua API.
- Emettere token a tempo limitato per ridurre al minimo il rischio di uso improprio (in linea con la strategia di rotazione chiave della Sezione 3).
- Gestire le richieste API utilizzando questi token anziché esporre direttamente le chiavi sensibili.
Per una soluzione più avanzata, prendi in considerazione l'utilizzo di gateway API come Amazon API Gateway o Kong. Questi strumenti offrono funzionalità integrate come gestione token, limitazione della velocità e monitoraggio, rendendoli ideali per ambienti sicuri. Abbinali ai limiti di richiesta della Sezione 6 per una strategia di difesa multistrato.
Per i sistemi critici, l'utilizzo di ambienti isolati come i VPS o i server dedicati di Serverion può fornire un ulteriore livello di sicurezza per l'implementazione di proxy backend e autenticazione basata su token.
8. Controllare la sicurezza del server
Proteggere l'infrastruttura del server è importante tanto quanto proteggere l'accesso lato client (vedere Sezione 7). Un buon esempio di ciò è la violazione di Experian del 2022, in cui i server vulnerabili hanno esposto milioni di record. Adottando gateway API con metodi di autenticazione più forti, Experian è stata in grado di bloccare 99% di tentativi di accesso non autorizzati ed evitare milioni di potenziali perdite tramite il rilevamento delle minacce in tempo reale.
Passaggi chiave per la protezione delle infrastrutture
Per salvaguardare efficacemente le chiavi API, prendi in considerazione queste difese a più livelli:
- Isolare i server API all'interno di reti segmentate per limitare l'esposizione.
- Utilizzo firewall per applicazioni web (WAF) con rigide politiche di negazione predefinite per bloccare gli accessi indesiderati.
- Attrezzo in tempo reale monitoraggio della sicurezza per cogliere le minacce non appena emergono.
Componenti di sicurezza di rete
| Livello di sicurezza | Implementazione | Benefici |
|---|---|---|
| Segmentazione della rete | Server API host in zone di rete isolate | Limita l'impatto delle violazioni |
| Configurazione del firewall | Utilizzare WAF con un set di regole di rifiuto predefinito | Impedisce l'accesso non autorizzato |
| Rilevamento delle intrusioni | Distribuire sistemi di monitoraggio della sicurezza | Identifica le minacce in anticipo |
Monitoraggio e avvisi
Come discusso nella Sezione 4, l'hardware crittografico è fondamentale per gli scenari ad alto rischio. Oltre a ciò, imposta avvisi per modelli di accesso insoliti o anomalie geografiche per assicurarti di essere sempre un passo avanti rispetto alle potenziali minacce.
Utilizzando ambienti di hosting dedicati per i server API critici aggiunge un ulteriore livello di isolamento. Questo funziona insieme alla crittografia e ai controlli di accesso per rafforzare il tuo framework di sicurezza complessivo.
9. Rivedere regolarmente l'utilizzo delle chiavi
Tenere d'occhio da vicino l'utilizzo delle chiavi API è essenziale per una sicurezza solida e prestazioni di sistema fluide. Questo passaggio si basa sulle strategie di monitoraggio menzionate nella Sezione 5 aggiungendo revisioni umane programmate al mix.
Metriche di revisione chiave
Quando si esamina l'utilizzo delle chiavi, concentrarsi su queste metriche importanti:
| Categoria metrica | Cosa monitorare | Segnali di avvertimento |
|---|---|---|
| Utilizzo delle risorse | Volumi di trasferimento dati, accesso endpoint | Elevato utilizzo della larghezza di banda, tentativi su endpoint limitati |
Esempio reale
Una volta Cloudflare ha bloccato un attacco dopo aver identificato 10 milioni di richieste orarie da un singolo account, ovvero 1.000 volte l'attività normale.
Strumenti di monitoraggio automatizzati
Strumenti come Guarda il cloud di AWS può aiutare con il monitoraggio in tempo reale. Questi sistemi analizzano i modelli di utilizzo e inviano avvisi quando viene rilevata un'attività insolita, risparmiando tempo e aggiungendo un ulteriore livello di sicurezza.
Metriche di utilizzo chiave da monitorare
- Modelli di traffico: Tieni d'occhio i volumi delle richieste e le tendenze nei diversi periodi.
- Utilizzo delle risorse: Confrontare il consumo di risorse con i livelli standard per individuare anomalie.
Per gli ambienti che richiedono una sicurezza più rigorosa, potresti voler implementare sistemi automatizzati che revocano le chiavi quando viene rilevata un'attività sospetta. Abbina queste recensioni alle strategie di rafforzamento del server della Sezione 8 per una difesa più stratificata.
10. Pianificare la rimozione rapida delle chiavi
Anche con revisioni regolari (vedere Sezione 9), ci sono momenti in cui è necessario agire rapidamente per affrontare le minacce alla sicurezza. Avere un piano solido per la disattivazione immediata della chiave API può impedire che un problema minore si trasformi in una grave violazione della sicurezza.
Quadro di risposta alle emergenze
Un piano di risposta efficace include strumenti e processi che consentono un'azione rapida ed efficace. Ecco cosa dovresti avere in atto:
| Componente | Scopo |
|---|---|
| Dashboard centralizzata | Gestisci tutto da un'unica posizione |
| Script automatizzati | Disattivare rapidamente i tasti senza ritardi |
| Protocollo di comunicazione | Informare tempestivamente le parti interessate |
Esempio reale
L'incidente di sicurezza di Twilio del 2022 ha evidenziato l'importanza di un'azione rapida. Sono stati in grado di contenere una violazione revocando immediatamente i token, dimostrando quanto possa essere critica una risposta rapida.
Automazione della rimozione delle chiavi
I moderni gateway API sono dotati di strumenti progettati per semplificare la gestione delle chiavi. Questi strumenti non solo velocizzano il processo, ma riducono anche al minimo il rischio di errore umano durante le emergenze.
Riduzione delle interruzioni del servizio
Per evitare tempi di inattività non necessari, tieni pronte le chiavi di backup per i servizi essenziali. Utilizza autorizzazioni granulari per revocare parzialmente l'accesso e considera di offrire un breve periodo di tolleranza per consentire agli utenti legittimi di effettuare la transizione senza problemi.
Integrazione dei sistemi di monitoraggio
Combina il tuo piano di rimozione delle chiavi con i sistemi di monitoraggio (vedi Sezione 5) per migliorare le tue capacità di risposta. Questa integrazione consente:
- Rilevamento immediato delle minacce
- Trigger automatici per la rimozione delle chiavi
- Registri di controllo dettagliati
- Valutazioni in tempo reale dell'impatto
Non limitarti a impostare un piano: testalo. Esegui simulazioni regolari per assicurarti che il tuo team sia pronto per scenari del mondo reale. Per gli ambienti ad alta sicurezza, i sistemi automatizzati che reagiscono a comportamenti sospetti senza input manuale possono cambiare le carte in tavola.
Conclusione
Gestire le chiavi API in modo efficace va oltre la spunta di una casella di sicurezza: è essenziale per salvaguardare i dati sensibili e garantire l'affidabilità del servizio. Non gestire le chiavi in modo appropriato può portare a violazioni dei dati e pesanti sanzioni normative.
Le 10 pratiche esaminate forniscono un solido quadro per la sicurezza. Crittografia svolge un ruolo chiave, mentre un'implementazione corretta garantisce una protezione a lungo termine. Queste misure, che vanno dalla crittografia (Sezione 1) alla revoca di emergenza (Sezione 10), lavorano insieme per affrontare le minacce in evoluzione.
Le organizzazioni dovrebbero adottare queste protezioni concentrandosi sulla crittografia e sulla rotazione regolare delle chiavi. È fondamentale trovare il giusto equilibrio tra sicurezza elevata e usabilità. Sebbene l'implementazione di queste pratiche possa sembrare impegnativa, i rischi di una scarsa sicurezza superano di gran lunga lo sforzo. Adottare un approccio proattivo alla gestione delle chiavi API aiuta a mantenere la fiducia, a soddisfare gli standard di conformità e a proteggere i dati critici.
Per anticipare le minacce moderne, è importante applicare costantemente queste pratiche e adattarle quando necessario.
Domande frequenti
Quali sono i principi fondamentali per una gestione efficace delle chiavi API?
La gestione efficace delle chiavi API implica crittografia, controlli di accesso e monitoraggio, come discusso nelle sezioni 1-9. Ad esempio, l'interfaccia di rigenerazione delle chiavi 2023 di Airbrake evidenzia queste pratiche offrendo una rigenerazione istantanea delle chiavi tramite controlli intuitivi, in linea con le best practice di rotazione.
Qual è il modo più sicuro per conservare le chiavi API?
I key vault basati su cloud, come Azure Key Vault, sono ideali per archiviare le chiavi API. Questi servizi seguono gli standard di crittografia (Sezione 1), offrono rotazione automatizzata (Sezione 3) e forniscono monitoraggio dell'utilizzo (Sezione 5). Come sottolineato nella Sezione 4, gli ambienti di produzione dovrebbero fare affidamento su queste soluzioni di archiviazione sicure. Assicurare sempre la crittografia durante l'archiviazione e il transito, abbinata a rigorosi controlli di accesso.
Per i sistemi di produzione, evitare l'archiviazione lato client e utilizzare invece strumenti di gestione dei segreti, come spiegato nella Sezione 7.
