O Azure Key Vault
Azure Key Vault je jedním z několika řešení správy klíčů v Azure a pomáhá řešit následující problémy:
- Správa tajných klíčů – Azure Key Vault je možné využít k zabezpečenému ukládání tokenů, hesel, certifikátů, klíčů rozhraní API a dalších tajných klíčů a důsledné kontrole přístupu k nim.
- Správa klíčů – Azure Key Vault se dá použít jako řešení pro správu klíčů. Azure Key Vault usnadňuje vytváření a správu šifrovacích klíčů sloužících k šifrování dat.
- Správa certifikátů – Azure Key Vault umožňuje snadno zřizovat, spravovat a nasazovat veřejné a privátní certifikáty TLS/SSL (Transport Layer Security/Secure Sockets Layer) pro použití s Azure a interními připojenými prostředky.
Azure Key Vault má dvě úrovně služby: Standard, který šifruje softwarový klíč, a úroveň Premium, která zahrnuje klíče chráněné modulem hardwarového zabezpečení (HSM). Porovnání úrovní Standard a Premium najdete na stránce s cenami služby Azure Key Vault.
Poznámka:
nulová důvěra (Zero Trust) je strategie zabezpečení, která obsahuje tři principy: "Ověřit explicitně", "Použít přístup s nejnižšími oprávněními" a "Předpokládat porušení zabezpečení". Ochrana dat, včetně správy klíčů, podporuje princip "použití přístupu s nejnižšími oprávněními". Další informace najdete v tématu Co je nulová důvěra (Zero Trust)?
Proč používat Azure Key Vault?
Centralizace tajných klíčů aplikací
Centralizace ukládání tajných klíčů aplikací ve službě Azure Key Vault umožňuje řídit jejich distribuci. Key Vault výrazně snižuje riziko nechtěného úniku tajných klíčů. Když vývojáři aplikací používají Key Vault, nemusí už ve své aplikaci ukládat informace o zabezpečení. Nemusíte ukládat informace o zabezpečení v aplikacích, a proto není nutné, aby tyto informace byly součástí kódu. Aplikace se například může potřebovat připojit k databázi. Místo uložení připojovací řetězec do kódu aplikace ji můžete bezpečně uložit ve službě Key Vault.
Vaše aplikace můžou bezpečně přistupovat k potřebným informacím pomocí identifikátorů URI. Tyto identifikátory URI umožňují aplikacím načíst konkrétní verze tajného kódu. Není nutné psát vlastní kód pro ochranu jakýchkoli tajných informací uložených ve službě Key Vault.
Bezpečné ukládání tajných klíčů a klíčů
Pro přístup k trezoru klíčů se vyžaduje řádné ověření a autorizace volajícího (uživatel nebo aplikace). Ověřování vytvoří identitu volajícího, zatímco autorizace určuje operace, které smí provádět.
Ověřování se provádí prostřednictvím MICROSOFT Entra ID. Autorizace se může provádět prostřednictvím řízení přístupu na základě role (Azure RBAC) nebo zásad přístupu ke službě Key Vault. Azure RBAC se dá použít pro správu trezorů i pro přístup k datům uloženým v trezoru, zatímco zásady přístupu trezoru klíčů je možné použít jenom při pokusu o přístup k datům uloženým v trezoru.
Trezory klíčů Azure se šifrují v klidovém stavu pomocí klíče uloženého v modulech hardwarového zabezpečení (HSM). Azure chrání klíče, tajné kódy a certifikáty pomocí standardních algoritmů, délek klíčů a softwarových kryptografických modulů. Pro zvýšení záruky můžete vygenerovat nebo importovat klíče v modulech HSM (typ RSA-HSM, EC-HSM nebo OCT-HSM), které nikdy neopustí hranici HSM. Azure Key Vault používá ověřené softwarové kryptografické moduly a moduly HSM úrovně Federal Information Processing Standard 140.
Nakonec je služba Azure Key Vault navržená tak, aby Microsoft vaše data neviděl ani nezextrahuje.
Monitorování přístupu a využití
Po vytvoření několika trezorů klíčů budete chtít monitorovat, jak a kdy se ke klíčům a tajným kódům přistupuje. Aktivitu můžete monitorovat povolením protokolování pro vaše trezory. Ve službě Azure Key Vault můžete nakonfigurovat následující:
- Archivace do účtu úložiště
- Streamování do centra událostí
- Odešlete protokoly do protokolů služby Azure Monitor.
Máte kontrolu nad svými protokoly, které můžete zabezpečit prostřednictvím omezení přístupu, a můžete také odstranit protokoly, které už nepotřebujete.
Zjednodušená správa tajných kódů aplikací
Pokud ukládáte cenná data, musíte provést několik kroků. Informace o zabezpečení musí být zabezpečené, musí dodržovat životní cyklus a musí být vysoce dostupné. Azure Key Vault zjednodušuje proces splnění těchto požadavků:
- Odebrání potřeby interních znalostí modulů hardwarového zabezpečení
- Vertikální navýšení kapacity na krátkou dobu tak, aby splňovalo špičky využití vaší organizace.
- Replikuje obsah služby Key Vault v jedné oblasti do sekundární oblasti. Replikace dat zajišťuje vysokou dostupnost a zbavuje potřebu jakékoli akce od správce k aktivaci převzetí služeb při selhání.
- Poskytuje standardní možnosti správy Azure prostřednictvím portálu, Azure CLI nebo PowerShellu.
- Automatizuje určité úlohy prováděné s certifikáty, které jste zakoupili od veřejných certifikačních autorit, třeba jejich registraci a obnovení.
Kromě toho trezory klíčů Azure umožňují oddělení tajných klíčů aplikací. Aplikace můžou přistupovat jenom k trezoru, ke kterému mají povolený přístup, a můžou být omezené jenom na provádění konkrétních operací. Službu Azure Key Vault můžete vytvořit pro jednotlivé aplikace a omezit přístup k tajným klíčům uloženým ve službě Key Vault na konkrétní aplikaci a tým vývojářů.
Integrace s ostatními službami Azure
Služba Key Vault se jako zabezpečené úložiště v Azure používá ke zjednodušení scénářů, jako jsou:
- Azure Disk Encryption
- Funkce always encrypted a transparentní šifrování dat na SQL Serveru a Azure SQL Database
- Aplikace Azure Service.
Samotná služba Key Vault se může integrovat s účty úložiště, centry událostí a analytikou protokolů.