مشاركة عبر

حول Azure Key Vault

  • مقالة

Azure Key Vault هو واحد من العديد من حلول الإدارة الرئيسية في Azure، ويساعد في حل المشكلات التالية:

  • إدارة الأسرار - يُمكن استخدام Azure Key Vault للتخزين بأمان والتحكم بدرجة كبيرة في الوصول إلى الرموز المميزة وكلمات المرور والشهادات ومفاتيح واجهة برمجة التطبيقات، وأسرار أخرى
  • إدارة المفاتيح - يمكن أيضًا استخدام Azure Key Vault كحل لإدارة المفاتيح. يسهل Azure Key Vault إنشاء مفاتيح التشفير المستخدمة لتشفير بياناتك والتحكم فيها.
  • إدارة الشهادات - Azure Key Vault هي أيضًا خدمة تتيح لك سهولة تسجيل، وإدارة، ونشر شهادات أمان طبقة النقل وطبقة مآخذ توصيل آمنة (TLS/SSL) عامة وخاصة للاستخدام مع Azure والموارد الداخلية المتصلة.

يحتوي Azure Key Vault على مستويين من الخدمة: قياسي، والذي يقوم بتشفير مفتاح البرنامج، ومستوى متميز والذي يتضمن مفاتيح محمية لوحدة أمان الأجهزة (HSM). للاطلاع على مقارنة بين المستويين القياسي والمتميز، راجع صفحة التسعير في Azure Key Vault.

إشعار

ثقة معدومة هي استراتيجية أمنية تتكون من ثلاثة مبادئ: "التحقق بشكل صريح" و"استخدام الوصول الأقل امتيازا" و"افتراض الخرق". تدعم حماية البيانات، بما في ذلك إدارة المفاتيح، مبدأ "استخدام الوصول الأقل امتيازا". لمزيد من المعلومات، راجع ما هي ثقة معدومة؟

لماذا تستخدم Azure Key Vault؟

مركزية أسرار التطبيق

يتيح لك التخزين المركزي للبيانات السرية للتطبيق في Azure Key Vault التحكم في توزيعها. يقلل Key Vault إلى حد كبير من فرص تسريب الأسرار عن طريق الخطأ. عندما يستخدم مطورو التطبيقات Key Vault، فإنهم لم يعودوا بحاجة إلى تخزين معلومات الأمان في تطبيقهم. عدم الحاجة إلى تخزين معلومات الأمان في التطبيقات يلغي الحاجة إلى جعل هذه المعلومات جزءاً من التعليمات البرمجية. على سبيل المثال، قد يحتاج التطبيق إلى الاتصال بقاعدة بيانات. بدلاً من تخزين سلسلة الاتصال في التعليمات البرمجية للتطبيق، يمكنك تخزينها بأمان في Key Vault.

يمكن لتطبيقاتك الوصول بأمان إلى المعلومات التي تحتاج إليها باستخدام عناوين URIs. تسمح عناوين URIs للتطبيقات باسترداد إصدارات معينة لسر. ليست هناك حاجة لكتابة تعليمات برمجية مخصصة لحماية أي من المعلومات السرية المخزنة في Key Vault.

تخزين البيانات السرية والمفاتيح بأمان

يتطلب الوصول إلى مخزن المفاتيح المصادقة الصحيحة والترخيص قبل أن يتمكن المتصل (المستخدم أو التطبيق) من الوصول. تحدد المصادقة هوية المتصل، بينما يحدد التخويل العمليات المسموح له بتنفيذها.

تتم المصادقة عبر معرف Microsoft Entra. يمكن إجراء التفويض عبر التحكم في الوصول المستند إلى الدور Azure (Azure RBAC) أو سياسة الوصول إلى مخزن المفاتيح. يمكن استخدام Azure RBAC لكل من إدارة الخزائن والوصول إلى البيانات المخزنة في مخزن، بينما لا يمكن استخدام نهج الوصول إلى مخزن المفاتيح إلا عند محاولة الوصول إلى البيانات المخزنة في مخزن.

يتم تشفير خزائن مفاتيح Azure الثابتة باستخدام مفتاح مخزن في وحدات أمان الأجهزة (HSMs). يحمي Azure المفاتيح والأسرار والشهادات باستخدام خوارزميات معيار الصناعة وأطوال المفاتيح ووحدات تشفير البرامج. للحصول على ضمان إضافي، يمكنك إنشاء مفاتيح أو استيرادها في HSMs (اكتب RSA-HSM أو EC-HSM أو OCT-HSM) التي لا تترك حدود HSM أبدا. يستخدم Azure Key Vault وحدات تشفير البرامج القياسية 140 التي تم التحقق من صحتها ووحدات HSM لمعالجة المعلومات الفيدرالية.

وأخيرًا، تم تصميم Azure Key Vault بحيث لا تتمكن Microsoft من رؤية أو استخراج بياناتك.

مراقبة الوصول والاستخدام

بمجرد إنشاء اثنين من Key Vaults، ستحتاج إلى مراقبة كيفية ووقت الوصول إلى المفاتيح والأسرار. يمكنك مراقبة النشاط عن طريق تمكين تسجيل الدخول إلى الخزائن الخاصة بك. يمكنك تكوين Azure Key Vault من أجل:

  • أرشفة في حساب تخزين.
  • دفق البيانات إلى مركز أحداث.
  • إرسال السجلات إلى سجلات مراقبة Azure.

لديك السيطرة على سجلاتك ويمكنك تأمينها عن طريق تقييد الوصول ويمكنك أيضا حذف السجلات التي لم تعد بحاجة إليها.

الإدارة المبسطة للبيانات السرية للتطبيق

عند تخزين البيانات القيمة، يجب اتخاذ عدة خطوات. يجب تأمين المعلومات الأمنية، فيجب أن تتبع دورة حياة، ويجب أن تكون متاحة بدرجة كبيرة. يبسط Azure Key Vault عملية تلبية هذه المتطلبات من خلال:

  • إزالة الحاجة إلى المعرفة الداخلية لوحدات أمان الأجهزة.
  • التقدم في مهلة قصيرة لتلبية طفرات استخدام مؤسستك.
  • تكرار محتويات Key Vault الخاص بك داخل منطقة وإلى منطقة ثانوية. النسخ المتماثل للبيانات يضمن توفر مرتفع ويستبعد الحاجة إلى أي إجراء من المسؤول لتشغيل تجاوز الفشل.
  • توفير خيارات إدارة Azure القياسية عبر المدخل وAzure CLI وPowerShell.
  • أتمتة مهام معينة على الشهادات التي تشتريها من المراجع CAs العامة، مثل التسجيل والتجديد.

بالإضافة إلى ذلك، تسمح لك خزائن مفاتيح Azure بعزل أسرار التطبيقات. قد تصل التطبيقات إلى المخزن الذي يسمح لها بالوصول إليه فقط، ويمكن أن تقتصر على تنفيذ عمليات محددة فقط. يمكنك إنشاء "Azure Key Vault" لكل تطبيق وتقييد الأسرار المخزنة في "Key Vault" إلى تطبيق معين وفريق من المطورين.

التكامل مع خدمات Azure الأخرى

كمخزن آمن في Azure، تم استخدام Key Vault لتبسيط السيناريوهات مثل:

يمكن لـ Key Vault أن يتكامل مع حسابات التخزين ومراكز الأحداث وتحليلات السجل.

الخطوات التالية