تعدد الإيجارات وAzure Key Vault
يتم استخدام Azure Key Vault لإدارة البيانات الآمنة للحل الخاص بك، بما في ذلك الأسرار ومفاتيح التشفير والشهادات. في هذه المقالة، نصف بعض ميزات Azure Key Vault المفيدة للحلول متعددة المستأجرين. ثم نقدم ارتباطات إلى الإرشادات التي يمكن أن تساعدك، عندما تخطط لكيفية استخدام Key Vault.
نماذج العزل
عند العمل مع نظام متعدد المستأجرين باستخدام Key Vault، تحتاج إلى اتخاذ قرار بشأن مستوى العزل الذي تريد استخدامه. يعتمد اختيار نماذج العزل التي تستخدمها على العوامل التالية:
- كم عدد المستأجرين الذين تخطط للحصول علىهم؟
- هل تشارك مستوى التطبيق الخاص بك بين مستأجرين متعددين، أو تقوم بنشر مثيلات تطبيق المستأجر الفردي، أو هل تقوم بنشر طوابع توزيع منفصلة لكل مستأجر؟
- هل يحتاج المستأجرون إلى إدارة مفاتيح التشفير الخاصة بهم؟
- هل لدى المستأجرين متطلبات التوافق التي تتطلب تخزين أسرارهم بشكل منفصل عن أسرار المستأجرين الآخرين؟
يلخص الجدول التالي الاختلافات بين نماذج الإيجار الرئيسية ل Key Vault:
| الاعتبار | المخزن لكل مستأجر، في اشتراك الموفر | المخزن لكل مستأجر، في اشتراك المستأجر | المخزن المشترك |
|---|---|---|---|
| عزل البيانات | عالي | مرتفع جدًا | منخفض |
| عزل الأداء | متوسط. قد يكون معدل النقل العالي محدودا، حتى مع العديد من الخزائن | عالي | منخفض |
| تعقيد التوزيع | منخفض متوسط، اعتمادا على عدد المستأجرين | عالٍ. يجب على المستأجر منح حق الوصول إلى الموفر بشكل صحيح | منخفض |
| التعقيد التشغيلي | عالي | منخفض للموفر، أعلى للمستأجر | ادني |
| مثال على السيناريو | مثيلات التطبيق الفردية لكل مستأجر | مفاتيح التشفير التي يديرها العميل | حل كبير متعدد المستأجرين مع مستوى تطبيق مشترك |
المخزن لكل مستأجر، في اشتراك الموفر
قد تفكر في نشر مخزن لكل مستأجر من المستأجرين ضمن اشتراك Azure (موفر الخدمة). يوفر لك هذا النهج عزلا قويا للبيانات بين بيانات كل مستأجر، ولكنه يتطلب نشر وإدارة عدد متزايد من الخزائن، مع زيادة عدد المستأجرين.
لا يوجد حد لعدد الخزائن التي يمكنك نشرها في اشتراك Azure. ومع ذلك، يجب مراعاة الحدود التالية:
- هناك حدود على مستوى الاشتراك على عدد الطلبات في فترة زمنية. تنطبق هذه الحدود بغض النظر عن عدد الخزائن في الاشتراك. لذلك، من المهم اتباع إرشادات التقييد الخاصة بنا، حتى عندما يكون لديك خزائن خاصة بمستأجر.
- هناك حد لعدد تعيينات دور Azure التي يمكنك إنشاؤها ضمن اشتراك. عند نشر وتكوين أعداد كبيرة من الخزائن في اشتراك، يمكنك الاقتراب من هذه الحدود.
المخزن لكل مستأجر، في اشتراك المستأجر
في بعض الحالات، قد يقوم المستأجرون بإنشاء خزائن في اشتراكات Azure الخاصة بهم، وقد يرغبون في منح التطبيق الخاص بك حق الوصول للعمل مع الأسرار أو الشهادات أو المفاتيح. هذا الأسلوب مناسب عندما تسمح للمفاتيح التي يديرها العميل (CMKs) بالتشفير داخل الحل الخاص بك.
من أجل الوصول إلى البيانات في مخزن المستأجر الخاص بك، يجب على المستأجر تزويد التطبيق الخاص بك بالوصول إلى مخزنه. تتطلب هذه العملية مصادقة التطبيق الخاص بك من خلال مثيل Microsoft Entra الخاص بهم. أحد الأساليب هو نشر تطبيق Microsoft Entra متعدد المستأجرين. يجب على المستأجرين إجراء عملية موافقة لمرة واحدة. يسجلون أولا تطبيق Microsoft Entra متعدد المستأجرين في مستأجر Microsoft Entra الخاص بهم. ثم يمنحون تطبيق Microsoft Entra متعدد المستأجرين المستوى المناسب من الوصول إلى مخزنهم. كما أنهم بحاجة إلى تزويدك بمعرف المورد الكامل للمخزن الذي أنشأوه. بعد ذلك، يمكن أن تستخدم التعليمات البرمجية للتطبيق كيان خدمة مقترن بتطبيق Microsoft Entra متعدد المستأجرين في معرف Microsoft Entra الخاص بك، للوصول إلى مخزن كل مستأجر.
بدلا من ذلك، قد تطلب من كل مستأجر إنشاء كيان خدمة لخدمتك لاستخدامها، وتزويدك ببيانات الاعتماد الخاصة به. ومع ذلك، يتطلب هذا النهج تخزين بيانات الاعتماد وإدارتها بأمان لكل مستأجر، وهي مسؤولية أمنية محتملة.
إذا كون المستأجرون عناصر التحكم في الوصول إلى الشبكة على خزائنهم، فتأكد من أنك ستتمكن من الوصول إلى الخزائن.
الخزائن المشتركة
يمكنك اختيار مشاركة أسرار المستأجرين داخل مخزن واحد. يتم نشر المخزن في اشتراك Azure (موفر الحل)، وأنت مسؤول عن إدارته. هذا النهج أبسط، ولكنه يوفر أقل عزل للبيانات وعزل الأداء.
يمكنك أيضا اختيار نشر مخازن مشتركة متعددة. على سبيل المثال، إذا اتبعت نمط طوابع النشر، فمن المحتمل أن تقوم بنشر مخزن مشترك داخل كل طابع. وبالمثل، إذا قمت بنشر حل متعدد المناطق، يجب نشر المخازن في كل منطقة للأسباب التالية:
- لتجنب زمن انتقال حركة المرور عبر المناطق عند العمل مع البيانات في المخزن الخاص بك.
- لدعم متطلبات موقع البيانات.
- لتمكين استخدام المخازن الإقليمية داخل الخدمات الأخرى التي تتطلب عمليات نشر في نفس المنطقة.
عند العمل مع مخزن مشترك، من المهم مراعاة عدد العمليات التي تقوم بها مقابل المخزن. تتضمن العمليات قراءة البيانات السرية وإجراء عمليات التشفير أو فك التشفير. يفرض Key Vault حدودا على عدد الطلبات التي يمكن إجراؤها مقابل مخزن واحد، وعبر جميع الخزائن داخل اشتراك Azure. تأكد من اتباع إرشادات التقييد. من المهم اتباع الممارسات الموصى بها، بما في ذلك التخزين المؤقت للبيانات السرية التي تستردها بشكل آمن واستخدام تشفير المغلف لتجنب إرسال كل عملية تشفير إلى Key Vault. عند اتباع أفضل الممارسات هذه، يمكنك تشغيل حلول واسعة النطاق مقابل مخزن واحد.
إذا كنت بحاجة إلى تخزين أسرار أو مفاتيح أو شهادات خاصة بالمستأجر، ففكر في استخدام اصطلاح تسمية مثل بادئة تسمية. على سبيل المثال، يمكنك إلحاق معرف المستأجر باسم كل سر. بعد ذلك، يمكن للتعليمات البرمجية للتطبيق تحميل قيمة سر معين بسهولة لمستأجر معين.
ميزات Azure Key Vault التي تدعم تعدد المستأجرين
علامات
يدعم Key Vault وضع علامات على البيانات السرية والشهادات والمفاتيح باستخدام بيانات التعريف المخصصة، حتى تتمكن من استخدام علامة لتعقب معرف المستأجر لكل سر خاص بالمستأجر. ومع ذلك، لا يدعم Key Vault الاستعلام عن طريق العلامات، لذا فإن هذه الميزة هي الأنسب لأغراض الإدارة، بدلا من استخدامها ضمن منطق التطبيق الخاص بك.
مزيد من المعلومات:
دعم Azure Policy
إذا قررت نشر عدد كبير من الخزائن، فمن المهم التأكد من أنها تتبع معيارا متسقا لتكوين الوصول إلى الشبكة والتسجيل والتحكم في الوصول. ضع في اعتبارك استخدام نهج Azure للتحقق من تكوين الخزائن وفقا لمتطلباتك.
مزيد من المعلومات:
HSM المدار وHSM المخصص
إذا كنت بحاجة إلى تنفيذ عدد كبير من العمليات في الثانية، وكانت حدود عمليات Key Vault غير كافية، ففكر في استخدام HSM المدار أو Dedicated HSM. يوفر لك كلا المنتجين كمية محجوزة من السعة، ولكنها عادة ما تكون أكثر تكلفة من Key Vault. بالإضافة إلى ذلك، كن على دراية بالحدود المفروضة على عدد مثيلات هذه الخدمات التي يمكنك نشرها في كل منطقة.
مزيد من المعلومات:
- كيف أعمل تقرر ما إذا كنت تريد استخدام Azure Key Vault أو Azure Dedicated HSM؟
- هل Azure Dedicated HSM مناسب لك؟
المساهمون
تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.
الكاتب الرئيسي:
- جون داونز | مهندس العملاء الرئيسي، FastTrack ل Azure
مساهمون آخرون:
- جاك ليشوا | مدير المنتج الأساسي، Azure Key Vault
- Arsen Vladimirskiy | مهندس العملاء الرئيسي، FastTrack for Azure
لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.
الخطوات التالية
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ