إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
Azure Key Vault هو واحد من العديد من حلول الإدارة الرئيسية في Azure، ويساعد في حل المشكلات التالية:
- إدارة الأسرار - يُمكن استخدام Azure Key Vault للتخزين بأمان والتحكم بدرجة كبيرة في الوصول إلى الرموز المميزة وكلمات المرور والشهادات ومفاتيح واجهة برمجة التطبيقات، وأسرار أخرى
- إدارة المفاتيح - يمكن أيضًا استخدام Azure Key Vault كحل لإدارة المفاتيح. يسهل Azure Key Vault إنشاء مفاتيح التشفير المستخدمة لتشفير بياناتك والتحكم فيها.
- إدارة الشهادات - Azure Key Vault هي أيضًا خدمة تتيح لك سهولة تسجيل، وإدارة، ونشر شهادات أمان طبقة النقل وطبقة مآخذ توصيل آمنة (TLS/SSL) عامة وخاصة للاستخدام مع Azure والموارد الداخلية المتصلة.
يقدم Azure Key Vault مستويين من الخدمة لتلبية متطلبات الأمان والتوافق المختلفة:
- المستوى القياسي - تشفير البيانات باستخدام مكتبات البرامج التي تم التحقق من صحتها وفقا لمعيار FIPS 140 المستوى 1
- المستوى المتميز - يوفر مفاتيح محمية ب HSM، تم إنشاؤها وحمايتها بواسطة FIPS 140-3 المستوى 3 Marvell LiquidSecurity HSMs الذي تم التحقق من صحته من FIPS، للحصول على أعلى مستوى من حماية التشفير
للحصول على أسعار مفصلة ومقارنات الميزات بين المستويات، راجع صفحة تسعير Azure Key Vault.
إشعار
ثقة معدومة هي استراتيجية أمنية تتكون من ثلاثة مبادئ: "التحقق بشكل صريح" و"استخدام الوصول الأقل امتيازا" و"افتراض الخرق". تدعم حماية البيانات، بما في ذلك إدارة المفاتيح، مبدأ "استخدام الوصول الأقل امتيازا". لمزيد من المعلومات، راجع ما هي ثقة معدومة؟
لماذا تستخدم Azure Key Vault؟
مركزية أسرار التطبيق
يتيح لك التخزين المركزي للبيانات السرية للتطبيق في Azure Key Vault التحكم في توزيعها. يقلل Key Vault إلى حد كبير من فرص تسريب الأسرار عن طريق الخطأ. عندما يستخدم مطورو التطبيقات Key Vault، فإنهم لم يعودوا بحاجة إلى تخزين معلومات الأمان في تطبيقهم. عدم الحاجة إلى تخزين معلومات الأمان في التطبيقات يلغي الحاجة إلى جعل هذه المعلومات جزءاً من التعليمات البرمجية. على سبيل المثال، قد يحتاج التطبيق إلى الاتصال بقاعدة بيانات. بدلاً من تخزين سلسلة الاتصال في التعليمات البرمجية للتطبيق، يمكنك تخزينها بأمان في Key Vault.
يمكن لتطبيقاتك الوصول بأمان إلى المعلومات التي تحتاج إليها باستخدام عناوين URIs. تسمح عناوين URIs للتطبيقات باسترداد إصدارات معينة لسر. ليست هناك حاجة لكتابة تعليمات برمجية مخصصة لحماية أي من المعلومات السرية المخزنة في Key Vault.
تخزين البيانات السرية والمفاتيح بأمان
يتطلب الوصول إلى مخزن المفاتيح المصادقة الصحيحة والترخيص قبل أن يتمكن المتصل (المستخدم أو التطبيق) من الوصول. تحدد المصادقة هوية المتصل، بينما يحدد التخويل العمليات المسموح له بتنفيذها.
تتم المصادقة عبر معرف Microsoft Entra. يمكن إجراء التفويض عبر التحكم في الوصول المستند إلى الدور Azure (Azure RBAC) أو سياسة الوصول إلى مخزن المفاتيح. يمكن استخدام Azure RBAC لكل من إدارة الخزائن والوصول إلى البيانات المخزنة في مخزن، بينما لا يمكن استخدام نهج الوصول إلى مخزن المفاتيح إلا عند محاولة الوصول إلى البيانات المخزنة في مخزن.
يوفر Azure Key Vault طبقات متعددة من الأمان لحماية بياناتك. يتم تشفير جميع مخازن المفاتيح في حالة السكون باستخدام المفاتيح المخزنة في وحدات أمان الأجهزة (HSMs)، ويحمي Azure مفاتيحك وأسرارك وشهاداتك باستخدام الخوارزميات المتوافقة مع معايير الصناعة وأطوال المفاتيح وحماية التشفير.
بالنسبة للمؤسسات التي تتطلب أعلى مستوى من الأمان، توفر الطبقة المميزة مفاتيح محمية من HSM (RSA-HSM أو EC-HSM أو OCT-HSM) لا تغادر حدود HSM أبدا. تستخدم أجهزة HSMs من المستوى المتميز أجهزة Marvell LiquidSecurity مع التحقق من صحة FIPS 140-3 المستوى 3 ، مما يضمن حماية التشفير الأكثر صرامة المتاحة.
يستخدم كل من المستويين القياسي والمميز وحدات تشفير البرامج الفيدرالية لمعالجة المعلومات 140 ووحدات تشفير و HSMs لتلبية معايير الأمان والامتثال الصارمة.
وأخيرًا، تم تصميم Azure Key Vault بحيث لا تتمكن Microsoft من رؤية أو استخراج بياناتك.
مراقبة الوصول والاستخدام
بمجرد إنشاء اثنين من Key Vaults، ستحتاج إلى مراقبة كيفية ووقت الوصول إلى المفاتيح والأسرار. يمكنك مراقبة النشاط عن طريق تمكين تسجيل الدخول إلى الخزائن الخاصة بك. يمكنك تكوين Azure Key Vault من أجل:
- أرشفة في حساب تخزين.
- دفق البيانات إلى مركز أحداث.
- إرسال السجلات إلى سجلات مراقبة Azure.
لديك السيطرة على سجلاتك ويمكنك تأمينها عن طريق تقييد الوصول ويمكنك أيضا حذف السجلات التي لم تعد بحاجة إليها.
الإدارة المبسطة للبيانات السرية للتطبيق
عند تخزين البيانات القيمة، يجب اتخاذ عدة خطوات. يجب تأمين المعلومات الأمنية، فيجب أن تتبع دورة حياة، ويجب أن تكون متاحة بدرجة كبيرة. يبسط Azure Key Vault عملية تلبية هذه المتطلبات من خلال:
- إزالة الحاجة إلى المعرفة الداخلية لوحدات أمان الأجهزة.
- التقدم في مهلة قصيرة لتلبية طفرات استخدام مؤسستك.
- تكرار محتويات Key Vault الخاص بك داخل منطقة وإلى منطقة ثانوية. النسخ المتماثل للبيانات يضمن توفر مرتفع ويستبعد الحاجة إلى أي إجراء من المسؤول لتشغيل تجاوز الفشل.
- توفير خيارات إدارة Azure القياسية عبر المدخل وAzure CLI وPowerShell.
- أتمتة مهام معينة على الشهادات التي تشتريها من المراجع CAs العامة، مثل التسجيل والتجديد.
بالإضافة إلى ذلك، تسمح لك خزائن مفاتيح Azure بعزل أسرار التطبيقات. قد تصل التطبيقات إلى المخزن الذي يسمح لها بالوصول إليه فقط، ويمكن أن تقتصر على تنفيذ عمليات محددة فقط. يمكنك إنشاء "Azure Key Vault" لكل تطبيق وتقييد الأسرار المخزنة في "Key Vault" إلى تطبيق معين وفريق من المطورين.
التكامل مع خدمات Azure الأخرى
كمخزن آمن في Azure، تم استخدام Key Vault لتبسيط السيناريوهات مثل:
- تشفير قرص Azure
- وظيفة تشفير البيانات المشفرة والشفافة دائماً في خادم SQL وقاعدة بيانات Azure SQL
- خدمة تطبيق Azure.
يمكن لـ Key Vault أن يتكامل مع حسابات التخزين ومراكز الأحداث وتحليلات السجل.