حول Azure Key Vault

Azure Key Vault هو واحد من العديد من حلول الإدارة الرئيسية في Azure، ويساعد في حل المشكلات التالية:

• إدارة الأسرار - يُمكن استخدام Azure Key Vault للتخزين بأمان والتحكم بدرجة كبيرة في الوصول إلى الرموز المميزة وكلمات المرور والشهادات ومفاتيح واجهة برمجة التطبيقات، وأسرار أخرى
• إدارة المفاتيح - يمكن أيضًا استخدام Azure Key Vault كحل لإدارة المفاتيح. يسهل Azure Key Vault إنشاء مفاتيح التشفير المستخدمة لتشفير بياناتك والتحكم فيها.
• إدارة الشهادات - Azure Key Vault هي أيضًا خدمة تتيح لك سهولة تسجيل، وإدارة، ونشر شهادات أمان طبقة النقل وطبقة مآخذ توصيل آمنة (TLS/SSL) عامة وخاصة للاستخدام مع Azure والموارد الداخلية المتصلة.

يحتوي Azure Key Vault على مستويين من الخدمة: قياسي، والذي يقوم بتشفير مفتاح البرنامج، ومستوى متميز والذي يتضمن مفاتيح محمية لوحدة أمان الأجهزة (HSM). للاطلاع على مقارنة بين المستويين القياسي والمتميز، راجع صفحة التسعير في Azure Key Vault.

إشعار

ثقة معدومة هي استراتيجية أمنية تتكون من ثلاثة مبادئ: "التحقق بشكل صريح" و"استخدام الوصول الأقل امتيازا" و"افتراض الخرق". تدعم حماية البيانات، بما في ذلك إدارة المفاتيح، مبدأ "استخدام الوصول الأقل امتيازا". لمزيد من المعلومات، راجع ما هي ثقة معدومة؟

لماذا تستخدم Azure Key Vault؟

مركزية أسرار التطبيق

يتيح لك التخزين المركزي للبيانات السرية للتطبيق في Azure Key Vault التحكم في توزيعها. يقلل Key Vault إلى حد كبير من فرص تسريب الأسرار عن طريق الخطأ. عندما يستخدم مطورو التطبيقات Key Vault، فإنهم لم يعودوا بحاجة إلى تخزين معلومات الأمان في تطبيقهم. عدم الحاجة إلى تخزين معلومات الأمان في التطبيقات يلغي الحاجة إلى جعل هذه المعلومات جزءاً من التعليمات البرمجية. على سبيل المثال، قد يحتاج التطبيق إلى الاتصال بقاعدة بيانات. بدلاً من تخزين سلسلة الاتصال في التعليمات البرمجية للتطبيق، يمكنك تخزينها بأمان في Key Vault.

يمكن لتطبيقاتك الوصول بأمان إلى المعلومات التي تحتاج إليها باستخدام عناوين URIs. تسمح عناوين URIs للتطبيقات باسترداد إصدارات معينة لسر. ليست هناك حاجة لكتابة تعليمات برمجية مخصصة لحماية أي من المعلومات السرية المخزنة في Key Vault.

تخزين البيانات السرية والمفاتيح بأمان

يتطلب الوصول إلى مخزن المفاتيح المصادقة الصحيحة والترخيص قبل أن يتمكن المتصل (المستخدم أو التطبيق) من الوصول. تحدد المصادقة هوية المتصل، بينما يحدد التخويل العمليات المسموح له بتنفيذها.

تتم المصادقة عبر معرف Microsoft Entra. يمكن إجراء التفويض عبر التحكم في الوصول المستند إلى الدور Azure (Azure RBAC) أو سياسة الوصول إلى مخزن المفاتيح. يمكن استخدام Azure RBAC لكل من إدارة الخزائن والوصول إلى البيانات المخزنة في مخزن، بينما لا يمكن استخدام نهج الوصول إلى مخزن المفاتيح إلا عند محاولة الوصول إلى البيانات المخزنة في مخزن.

قد تكون Azure Key Vaults محمية إما بالبرامج، بالمستوى المتميز لـ Azure Key Vaults، أو محمية من قبل وحدات أمان الأجهزة (HSMs). تتم حماية المفاتيح والأسرار والشهادات المحمية بالبرمجيات بواسطة Azure، باستخدام خوارزميات متوافقة مع معايير الصناعة وأطوال المفاتيح. بالنسبة للحالات التي تتطلب ضماناً إضافياً، يمكنك استيراد أو إنشاء مفاتيح في HSMs التي لا تترك حدود HSM أبداً. يستخدم Azure Key Vault وحدة HSM لمعالجة المعلومات الفيدرالية القياسية 140 التي تم التحقق من صحتها. يمكنك استخدام الأدوات المتوفرة لمورد HSM لنقل مفتاح من HSM إلى Azure Key Vault.

وأخيرًا، تم تصميم Azure Key Vault بحيث لا تتمكن Microsoft من رؤية أو استخراج بياناتك.

مراقبة الوصول والاستخدام

بمجرد إنشاء اثنين من Key Vaults، ستحتاج إلى مراقبة كيفية ووقت الوصول إلى المفاتيح والأسرار. يمكنك مراقبة النشاط عن طريق تمكين تسجيل الدخول إلى الخزائن الخاصة بك. يمكنك تكوين Azure Key Vault من أجل:

• أرشفة في حساب تخزين.
• دفق البيانات إلى مركز أحداث.
• إرسال السجلات إلى سجلات مراقبة Azure.

لديك السيطرة على سجلاتك ويمكنك تأمينها عن طريق تقييد الوصول ويمكنك أيضا حذف السجلات التي لم تعد بحاجة إليها.

الإدارة المبسطة للبيانات السرية للتطبيق

عند تخزين البيانات القيمة، يجب اتخاذ عدة خطوات. يجب تأمين المعلومات الأمنية، فيجب أن تتبع دورة حياة، ويجب أن تكون متاحة بدرجة كبيرة. يبسط Azure Key Vault عملية تلبية هذه المتطلبات من خلال:

• إزالة الحاجة إلى المعرفة الداخلية لوحدات أمان الأجهزة.
• التقدم في مهلة قصيرة لتلبية طفرات استخدام مؤسستك.
• تكرار محتويات Key Vault الخاص بك داخل منطقة وإلى منطقة ثانوية. النسخ المتماثل للبيانات يضمن توفر مرتفع ويستبعد الحاجة إلى أي إجراء من المسؤول لتشغيل تجاوز الفشل.
• توفير خيارات إدارة Azure القياسية عبر المدخل وAzure CLI وPowerShell.
• أتمتة مهام معينة على الشهادات التي تشتريها من المراجع CAs العامة، مثل التسجيل والتجديد.

بالإضافة إلى ذلك، تسمح لك خزائن مفاتيح Azure بعزل أسرار التطبيقات. قد تصل التطبيقات إلى المخزن الذي يسمح لها بالوصول إليه فقط، ويمكن أن تقتصر على تنفيذ عمليات محددة فقط. يمكنك إنشاء "Azure Key Vault" لكل تطبيق وتقييد الأسرار المخزنة في "Key Vault" إلى تطبيق معين وفريق من المطورين.

التكامل مع خدمات Azure الأخرى

كمخزن آمن في Azure، تم استخدام Key Vault لتبسيط السيناريوهات مثل:

• تشفير قرص Azure
• وظيفة تشفير البيانات المشفرة والشفافة دائماً في خادم SQL وقاعدة بيانات Azure SQL
• خدمة تطبيق Azure.

يمكن لـ Key Vault أن يتكامل مع حسابات التخزين ومراكز الأحداث وتحليلات السجل.

الخطوات التالية

• إدارة المفاتيح في Azure
• تعرّف على المزيد حول المفاتيح والأسرار والشهادات
• التشغيل السريع: إنشاء Azure Key Vault باستخدام CLI
• المصادقة والطلبات والاستجابات
• ما هو ثقة معدومة؟