O Azure Key Vault

Azure Key Vault je jedním z několika řešení správy klíčů v Azure a pomáhá řešit následující problémy:

• Správa tajných klíčů – Azure Key Vault je možné využít k zabezpečenému ukládání tokenů, hesel, certifikátů, klíčů rozhraní API a dalších tajných klíčů a důsledné kontrole přístupu k nim.
• Správa klíčů – Azure Key Vault se dá použít jako řešení pro správu klíčů. Azure Key Vault usnadňuje vytváření a správu šifrovacích klíčů sloužících k šifrování dat.
• Správa certifikátů – Azure Key Vault umožňuje snadno zřizovat, spravovat a nasazovat veřejné a privátní certifikáty TLS/SSL (Transport Layer Security/Secure Sockets Layer) pro použití s Azure a interními připojenými prostředky.

Azure Key Vault má dvě úrovně služby: Standard, který šifruje softwarový klíč, a úroveň Premium, která zahrnuje klíče chráněné modulem hardwarového zabezpečení (HSM). Porovnání úrovní Standard a Premium najdete na stránce s cenami služby Azure Key Vault.

Poznámka:

nulová důvěra (Zero Trust) je strategie zabezpečení, která obsahuje tři principy: "Ověřit explicitně", "Použít přístup s nejnižšími oprávněními" a "Předpokládat porušení zabezpečení". Ochrana dat, včetně správy klíčů, podporuje princip "použití přístupu s nejnižšími oprávněními". Další informace najdete v tématu Co je nulová důvěra (Zero Trust)?

Proč používat Azure Key Vault?

Centralizace tajných klíčů aplikací

Centralizace ukládání tajných klíčů aplikací ve službě Azure Key Vault umožňuje řídit jejich distribuci. Key Vault výrazně snižuje riziko nechtěného úniku tajných klíčů. Když vývojáři aplikací používají Key Vault, nemusí už ve své aplikaci ukládat informace o zabezpečení. Nemusíte ukládat informace o zabezpečení v aplikacích, a proto není nutné, aby tyto informace byly součástí kódu. Aplikace se například může potřebovat připojit k databázi. Místo uložení připojovací řetězec do kódu aplikace ji můžete bezpečně uložit ve službě Key Vault.

Vaše aplikace můžou bezpečně přistupovat k potřebným informacím pomocí identifikátorů URI. Tyto identifikátory URI umožňují aplikacím načíst konkrétní verze tajného kódu. Není nutné psát vlastní kód pro ochranu jakýchkoli tajných informací uložených ve službě Key Vault.

Bezpečné ukládání tajných klíčů a klíčů

Pro přístup k trezoru klíčů se vyžaduje řádné ověření a autorizace volajícího (uživatel nebo aplikace). Ověřování vytvoří identitu volajícího, zatímco autorizace určuje operace, které smí provádět.

Ověřování se provádí prostřednictvím MICROSOFT Entra ID. Autorizace se může provádět prostřednictvím řízení přístupu na základě role (Azure RBAC) nebo zásad přístupu ke službě Key Vault. Azure RBAC se dá použít pro správu trezorů i pro přístup k datům uloženým v trezoru, zatímco zásady přístupu trezoru klíčů je možné použít jenom při pokusu o přístup k datům uloženým v trezoru.

Služby Azure Key Vault můžou být chráněné softwarem nebo s úrovní Premium služby Azure Key Vault chráněné moduly hardwarového zabezpečení (HSM). Klíče, tajné kódy a certifikáty chráněné softwarem chrání Azure pomocí standardních algoritmů a délek klíčů. V situacích, kdy potřebujete přidat záruku, můžete importovat nebo generovat klíče v modulech HSM, které nikdy neopustí hranice HSM. Azure Key Vault používá ověřené moduly HSM úrovně Federal Information Processing Standard 140. K přesunu klíče z HSM do služby Azure Key Vault můžete použít nástroje poskytované dodavatelem HSM.

Nakonec je služba Azure Key Vault navržená tak, aby Microsoft vaše data neviděl ani nezextrahuje.

Monitorování přístupu a využití

Po vytvoření několika trezorů klíčů budete chtít monitorovat, jak a kdy se ke klíčům a tajným kódům přistupuje. Aktivitu můžete monitorovat povolením protokolování pro vaše trezory. Ve službě Azure Key Vault můžete nakonfigurovat následující:

• Archivace do účtu úložiště
• Streamování do centra událostí
• Odešlete protokoly do protokolů služby Azure Monitor.

Máte kontrolu nad svými protokoly, které můžete zabezpečit prostřednictvím omezení přístupu, a můžete také odstranit protokoly, které už nepotřebujete.

Zjednodušená správa tajných kódů aplikací

Pokud ukládáte cenná data, musíte provést několik kroků. Informace o zabezpečení musí být zabezpečené, musí dodržovat životní cyklus a musí být vysoce dostupné. Azure Key Vault zjednodušuje proces splnění těchto požadavků:

• Odebrání potřeby interních znalostí modulů hardwarového zabezpečení
• Vertikální navýšení kapacity na krátkou dobu tak, aby splňovalo špičky využití vaší organizace.
• Replikuje obsah služby Key Vault v jedné oblasti do sekundární oblasti. Replikace dat zajišťuje vysokou dostupnost a zbavuje potřebu jakékoli akce od správce k aktivaci převzetí služeb při selhání.
• Poskytuje standardní možnosti správy Azure prostřednictvím portálu, Azure CLI nebo PowerShellu.
• Automatizuje určité úlohy prováděné s certifikáty, které jste zakoupili od veřejných certifikačních autorit, třeba jejich registraci a obnovení.

Kromě toho trezory klíčů Azure umožňují oddělení tajných klíčů aplikací. Aplikace můžou přistupovat jenom k trezoru, ke kterému mají povolený přístup, a můžou být omezené jenom na provádění konkrétních operací. Službu Azure Key Vault můžete vytvořit pro jednotlivé aplikace a omezit přístup k tajným klíčům uloženým ve službě Key Vault na konkrétní aplikaci a tým vývojářů.

Integrace s ostatními službami Azure

Služba Key Vault se jako zabezpečené úložiště v Azure používá ke zjednodušení scénářů, jako jsou:

• Azure Disk Encryption
• Funkce always encrypted a transparentní šifrování dat na SQL Serveru a Azure SQL Database
• Aplikace Azure Service.

Samotná služba Key Vault se může integrovat s účty úložiště, centry událostí a analytikou protokolů.

Další kroky

• Správa klíčů v Azure
• Další informace o klíčích, tajných klíčích a certifikátech
• Rychlý start: Vytvoření služby Azure Key Vault pomocí rozhraní příkazového řádku
• Ověřování, požadavky a odpovědi
• Co je nulová důvěra (Zero Trust)?