Spolehlivost ve službě Azure Key Vault

Azure Key Vault je cloudová služba, která poskytuje zabezpečené úložiště tajných kódů, jako jsou klíče, hesla, certifikáty a další citlivé informace. Key Vault poskytuje řadu integrovaných funkcí spolehlivosti, které vám pomůžou zajistit, aby vaše tajné kódy zůstaly dostupné.

Při používání Azure je spolehlivost sdílenou odpovědností. Microsoft nabízí celou řadu možností, které podporují odolnost a obnovení. Zodpovídáte za pochopení toho, jak tyto možnosti fungují ve všech službách, které používáte, a výběrem možností, které potřebujete ke splnění vašich obchodních cílů a cílů dostupnosti.

Tento článek popisuje, že služba Key Vault je odolná vůči nejrůznějším potenciálním výpadkům a problémům, včetně přechodných chyb, výpadků zón dostupnosti a výpadků oblastí. Popisuje také, jak můžete použít zálohy k obnovení z jiných typů problémů, funkcí obnovení, aby se zabránilo náhodnému odstranění, a zvýrazní některé klíčové informace o smlouvě o úrovni služeb služby Key Vault (SLA).

Doporučení pro produkční nasazení pro spolehlivost

Pro produkční úlohy doporučujeme:

• Používejte trezory klíčů úrovně Standard nebo Premium.
• Povolte ochranu proti obnovitelnému odstranění a vymazání , abyste zabránili náhodnému nebo škodlivému odstranění.
• U důležitých úloh zvažte implementaci strategií pro více oblastí, které jsou popsané v této příručce.

Přehled architektury spolehlivosti

Pro zajištění vysoké odolnosti a dostupnosti klíčů, tajných kódů a certifikátů v případě selhání hardwaru nebo výpadku sítě poskytuje Key Vault několik vrstev redundance, které zajistí zachování dostupnosti během následujících událostí:

• Selhání hardwaru
• Výpadky sítě
• Lokalizované havárie
• Aktivity údržby

Služba Key Vault ve výchozím nastavení dosahuje redundance tím, že replikuje trezor klíčů a jeho obsah v rámci oblasti.

Pokud má oblast spárovanou oblast a tato spárovaná oblast je ve stejné zeměpisné oblasti jako primární oblast, obsah se také replikuje do spárované oblasti. Tento přístup zajišťuje vysokou odolnost klíčů a tajných kódů, které chrání před selháním hardwaru, výpadky sítě nebo lokalizovanými haváriemi.

Odolnost proti přechodným chybám

Přechodné chyby jsou krátká, přerušovaná selhání ve složkách. V distribuovaném prostředí, jako je cloud, se vyskytují často a jsou normální součástí provozu. Přechodné chyby se opravují po krátké době. Je důležité, aby vaše aplikace mohly zpracovávat přechodné chyby, obvykle opakováním ovlivněných požadavků.

Všechny aplikace hostované v cloudu by měly při komunikaci se všemi cloudovými rozhraními API, databázemi a dalšími komponentami postupovat podle pokynů pro zpracování přechodných chyb Azure. Další informace najdete v tématu Doporučení pro zpracování přechodných chyb.

Aby bylo možné zpracovat jakákoli přechodná selhání, měli by klientské aplikace při interakci se službou Key Vault implementovat logiku opakování. Zvažte následující osvědčené postupy:

• Použijte sady Azure SDK, které obvykle zahrnují integrované mechanismy opakování.

• Pokud se klienti připojují přímo ke službě Key Vault, implementujte zásady exponenciálního opakování.

• Pokud je to možné, ukládejte tajné kódy do mezipaměti, abyste snížili přímé požadavky do služby Key Vault.

• Sledujte chyby omezování, protože překročení limitů služby Key Vault způsobuje omezování.

Pokud službu Key Vault používáte ve scénářích s vysokou propustností, zvažte distribuci operací napříč několika trezory klíčů, abyste se vyhnuli limitům omezování. Pro následující scénáře zvažte pokyny specifické pro službu Key Vault:

• Scénář s vysokou propustností je takový, který se blíží nebo překračuje limity služby pro operace služby Key Vault, například 200 operací za sekundu pro klíče chráněné softwarem.

• V případě úloh s vysokou propustností rozdělte provoz služby Key Vault mezi několik trezorů a různých oblastí.

• Limit pro všechny typy transakcí v rámci předplatného je pětkrát limit jednotlivých trezorů klíčů.

• Pro každou doménu zabezpečení nebo dostupnosti použijte samostatný trezor. Pokud máte například pět aplikací ve dvou oblastech, zvažte použití 10 trezorů.

• Pro operace veřejného klíče, jako je šifrování, zabalení a ověření, proveďte tyto operace místně uložením do mezipaměti materiálu veřejného klíče.

Další informace najdete v pokynech k omezování přístupu ke službě Key Vault.

Odolnost proti chybám zóny dostupnosti

Zóny dostupnosti jsou fyzicky oddělené skupiny datacenter v rámci oblasti Azure. Když jedna zóna selže, mohou služby přejít na jednu ze zbývajících zón.

Key Vault automaticky poskytuje redundanci zón v oblastech, které podporují zóny dostupnosti. Tato redundance poskytuje vysokou dostupnost v rámci oblasti bez nutnosti jakékoli konkrétní konfigurace.

Když se zóna dostupnosti stane nedostupnou, Služba Key Vault automaticky přesměruje vaše požadavky na jiné zóny dostupnosti, které jsou v pořádku, aby se zajistila vysoká dostupnost.

Podpora oblastí

Key Vault ve výchozím nastavení umožňuje redundanci zón ve všech oblastech Azure, které podporují zóny dostupnosti.

Požadavky

Všechny skladové položky služby Key Vault, Standard a Premium podporují stejnou úroveň dostupnosti a odolnosti. Pro zajištění odolnosti zón neexistují žádné požadavky specifické pro vrstvu.

Náklady

Ve službě Key Vault nejsou spojené žádné další náklady na redundanci zón. Ceny vycházejí ze skladové položky Standard nebo Premium a počtu provedených operací.

Chování, když jsou všechny zóny v pořádku

Tato část popisuje, co očekávat, když jsou trezory klíčů v oblasti, ve které jsou zóny dostupnosti a všechny zóny dostupnosti jsou funkční:

• Směrování provozu mezi zónami: Key Vault automaticky spravuje směrování provozu mezi zónami dostupnosti. Během normálních operací se požadavky transparentně distribuují napříč zónami.

• Replikace dat mezi zónami: Data služby Key Vault se synchronně replikují napříč zónami dostupnosti v oblastech, které podporují zóny. Tato replikace zajišťuje, že vaše klíče, tajné kódy a certifikáty zůstanou konzistentní a dostupné i v případě, že zóna přestane být dostupná.

Chování při selhání zóny

Následující část popisuje, co očekávat, když jsou trezory klíčů v oblasti, ve které jsou zóny dostupnosti a jedna nebo více zón dostupnosti nejsou k dispozici:

• Detekce a odpověď: Služba Key Vault zodpovídá za detekci selhání zón a automatickou reakci na ně. Během selhání zóny nemusíte provádět žádnou akci.

• Oznámení: Microsoft vás automaticky neoznámí, když je zóna mimo provoz. Azure Resource Health ale můžete použít k monitorování stavu jednotlivých prostředků a můžete nastavit upozornění služby Resource Health , která vás upozorní na problémy. Pomocí služby Azure Service Health můžete také porozumět celkovému stavu služby, včetně jakýchkoli selhání zón, a můžete nastavit upozornění služby Service Health , která vás upozorní na problémy.

• Aktivní požadavky: Během selhání zóny může ovlivněná zóna selhat ve zpracování probíhajících požadavků, což vyžaduje, aby je klientské aplikace opakovaly. Klientské aplikace by měly dodržovat přechodné postupy zpracování chyb , aby se zajistilo, že můžou opakovat požadavky, pokud dojde k selhání zóny.

• Očekávaná ztráta dat: Během selhání zóny se neočekává žádná ztráta dat kvůli synchronní replikaci mezi zónami.

• Očekávaný výpadek: V případě operací čtení by během selhání zóny nemělo dojít k žádnému výpadku. Operace zápisu mohou zaznamenat dočasnou nedostupnost, zatímco se služba přizpůsobuje selhání zóny. Očekává se, že operace čtení zůstanou dostupné během selhání zóny.

• Přesměrování provozu: Key Vault automaticky směruje provoz z ovlivněné zóny do zón, které jsou v pořádku, aniž by bylo nutné provést zásah zákazníka.

Obnovení zóny

Když se ovlivněná zóna dostupnosti obnoví, služba Key Vault automaticky obnoví operace do této zóny. Platforma Azure tento proces plně spravuje a nevyžaduje žádný zásah zákazníka.

Odolnost proti selháním v celé oblasti

Prostředky služby Key Vault se nasazují do jedné oblasti Azure. Pokud se oblast stane nedostupnou, nebude dostupný ani trezor klíčů. Existují ale přístupy, které můžete použít k zajištění odolnosti vůči výpadkům oblastí. Tyto přístupy závisejí na tom, jestli je trezor klíčů ve spárovaném nebo nepárovaném regionu a na vašich konkrétních požadavcích a konfiguraci.

Převzetí služeb při selhání spravované Microsoftem do spárované oblasti

Key Vault podporuje replikaci spravovanou Microsoftem a převzetí služeb při selhání pro trezory klíčů ve většině spárovaných oblastí. Obsah trezoru klíčů se automaticky replikuje jak v rámci oblasti, tak asynchronně i do spárované oblasti. Tento přístup zajišťuje vysokou odolnost vašich klíčů a tajných kódů. V nepravděpodobném případě dlouhodobé poruchy regionu může Microsoft zahájit regionální přesun vašeho klíčového trezoru.

Následující oblasti nepodporují replikaci spravovanou Microsoftem ani převzetí služeb při selhání napříč oblastmi:

• Brazílie – jih
• Brazílie – jihovýchod
• USA – západ 3
• Libovolná oblast, která nemá spárovanou oblast

Důležité

Microsoft aktivuje Microsoftem spravované převzetí služeb při selhání. Pravděpodobně dojde po významném zpoždění a provede se na základě nejlepšího úsilí. K tomuto procesu existují také některé výjimky. K přepnutí klíčových trezorů může dojít v jiný čas než k přepnutí jiných služeb Azure.

Pokud potřebujete být odolní vůči výpadkům oblastí, zvažte použití jednoho z vlastních řešení pro více oblastí pro zajištění odolnosti.

Pomocí funkce zálohování a obnovení můžete také replikovat obsah trezoru do jiné oblasti podle vašeho výběru.

Úvahy

• Prostoj: Během probíhajícího převzetí služeb při selhání může být váš trezor klíčů po dobu několika minut nedostupný.

• Jen pro čtení po převzetí služeb při selhání: Po převzetí služeb při selhání se trezor klíčů stane jen pro čtení a podporuje pouze omezené akce. V sekundární oblasti nelze měnit vlastnosti trezoru klíčů při provozu v této oblasti a není také možné upravovat zásady přístupu a konfigurace brány firewall, zatímco operujete v sekundární oblasti.

  Pokud je trezor klíčů v režimu jen pro čtení, podporují se pouze následující operace:

  • Výpis certifikátů
  • Získání certifikátů
  • Výpis tajných kódů
  • Získání tajných kódů
  • Výpis klíčů
  • Získání (vlastností) klíčů
  • Zašifrovat
  • Dekódovat
  • Zabalit
  • Rozbalit
  • Verify
  • Značka
  • Backup

Náklady

U integrovaných funkcí replikace ve více oblastech služby Key Vault se neúčtují žádné další náklady.

Chování, když jsou všechny oblasti v pořádku

Následující část popisuje, co očekávat, když se úložiště klíčů nachází v oblasti, která podporuje replikaci a převzetí služeb při selhání spravované Microsoftem, a primární oblast je funkční:

• Směrování provozu mezi oblastmi: Během normálních operací se všechny požadavky směrují do primární oblasti, ve které je váš trezor klíčů nasazený.

• Replikace dat mezi oblastmi: Key Vault replikuje data asynchronně do spárované oblasti. Když provedete změny obsahu trezoru klíčů, tyto změny se nejprve potvrdí do primární oblasti a pak se replikují do sekundární oblasti.

Chování při selhání oblasti

Následující část popisuje, co můžete očekávat, když je trezor klíčů umístěn v oblasti, která podporuje replikaci spravovanou společností Microsoft a řízené převzetí služeb při selhání, a dojde k výpadku v primární oblasti:

• Detekce a odpověď: Microsoft se může rozhodnout provést převzetí služeb při selhání, pokud dojde ke ztrátě primárního regionu. Tento proces může trvat několik hodin po ztrátě primární oblasti nebo déle v některých scénářích. Převzetí služeb pro případ selhání Key Vaults nemusí probíhat současně jako ostatní služby Azure.

• Oznámení: Microsoft vás automaticky neoznámí, když je zóna mimo provoz. Azure Resource Health ale můžete použít k monitorování stavu jednotlivých prostředků a můžete nastavit upozornění služby Resource Health , která vás upozorní na problémy. Pomocí služby Azure Service Health můžete také porozumět celkovému stavu služby, včetně jakýchkoli selhání zón, a můžete nastavit upozornění služby Service Health , která vás upozorní na problémy.

• Aktivní požadavky: Během převzetí služeb při selhání regionu může dojít k selhání aktivních požadavků a klientské aplikace by je po dokončení převzetí služeb při selhání měly opakovat.

• Očekávaná ztráta dat: Pokud se změny nereplikují do sekundární oblasti před selháním primární oblasti, může dojít ke ztrátě dat.

• Očekávaný výpadek: Během velkého výpadku primární oblasti může být váš trezor klíčů nedostupný několik hodin nebo dokud Microsoft nezahájí přepnutí na sekundární oblast.

  Pokud se k trezoru klíčů připojíte pomocí služby Private Link, může trvat až 20 minut, než se připojení znovu vytvoří po převzetí služeb při selhání oblasti.

• Přesměrování provozu: Po převzetí služeb v případě selhání oblasti se žádosti automaticky směrují do spárované oblasti bez nutnosti zásahu zákazníka.

Vlastní řešení pro více regionů pro odolnost systémů

Existují scénáře, kdy funkce převzetí služeb při selhání služby Key Vault spravované Microsoftem pro různé oblasti nejsou vhodné:

• Váš klíčový trezor je v nepárované oblasti.

• Váš trezor klíčů je ve spárované oblasti, která nepodporuje replikaci mezi oblastmi spravovanou Microsoftem a převzetí služeb při selhání v Oblasti Brazílie – jih, Jihovýchodní Brazílie a USA – západ 3.

• Vaše cíle doby provozu nejsou splněny ani časem obnovení, ani ztrátou dat, které poskytuje Microsoftem spravované převzetí služeb při selhání mezi regiony.

• Musíte převzít služby při selhání do oblasti, která není párem primární oblasti.

Vlastní řešení převzetí služeb při selhání mezi oblastmi můžete navrhnout pomocí následujících kroků:

1. Vytvořte samostatné trezory klíčů v různých oblastech.

2. Funkce zálohování a obnovení slouží k udržování konzistentních tajných kódů napříč oblastmi.

3. Implementujte logiku na úrovni aplikace pro automatické přepnutí mezi trezory klíčů.

Zálohování a obnovení

Key Vault může zálohovat a obnovovat jednotlivé tajné kódy, klíče a certifikáty. Zálohy jsou určené k poskytnutí offline kopie tajných kódů v nepravděpodobném případě, že ztratíte přístup ke svému trezoru klíčů.

Zvažte následující klíčové faktory týkající se funkcí zálohování:

• Zálohy vytvářejí šifrované objekty blob, které nejde dešifrovat mimo Azure.

• Zálohy je možné obnovit pouze do trezoru klíčů ve stejném předplatném Azure a v zeměpisné oblasti Azure.

• Existuje omezení zálohování maximálně 500 předchozích verzí klíče, tajného klíče nebo objektu certifikátu.

• Zálohy jsou snímky k určitému bodu v čase a při změně tajných kódů se automaticky neaktualizují.

U většiny řešení byste se neměli spoléhat výhradně na zálohy. Místo toho využijte další funkce popsané v tomto průvodci k podpoře vašich požadavků na odolnost. Zálohy ale chrání před některými riziky, která jiné přístupy nemají, například náhodné odstranění konkrétních tajných kódů. Další informace najdete v tématu Zálohování služby Key Vault.

Funkce obnovení

Key Vault poskytuje dvě funkce obnovení klíčů, které brání náhodnému nebo škodlivému odstranění:

• Měkké odstranění: Když je povoleno, měkké odstranění umožňuje obnovit smazané trezory a objekty během konfigurovatelné doby uchovávání dat. Toto období je ve výchozím nastavení 90 dnů. Můžete si představit soft delete jako koš na dočasné odstranění vašich prostředků z úložiště klíčů.

• Ochrana před vymazáním: Pokud je tato možnost povolená, ochrana před vymazáním zabrání trvalému odstranění trezoru klíčů a jeho objektů, dokud neuplyne doba uchovávání. Tato ochrana brání škodlivým uživatelům v trvalém zničení vašeho tajemství.

Důrazně doporučujeme obě funkce pro produkční prostředí. Další informace najdete v tématu Obnovitelné odstranění a ochrana proti vymazání v dokumentaci ke správě obnovy Key Vault.

Smlouva o úrovni služeb

Smlouva o úrovni služeb (SLA) pro služby Azure popisuje očekávanou dostupnost každé služby a podmínky, které musí vaše řešení splnit, aby bylo dosaženo očekávané dostupnosti. Další informace najdete v tématu Smlouvy SLA pro online služby.

Související obsah

• Zálohování služby Key Vault
• Správa obnovení služby Key Vault
• Spolehlivost v Azure