Základní koncepty služby Azure Key Vault
Azure Key Vault je cloudová služba pro bezpečné ukládání tajných kódů a přístup k nim. Tajný kód je vše, co chcete pevně řídit přístup, jako jsou klíče rozhraní API, hesla, certifikáty nebo kryptografické klíče. Služba Key Vault podporuje dva typy kontejnerů: trezory a spravované fondy modulů hardwarového zabezpečení (HSM). Trezory podporují ukládání klíčů, tajných kódů a certifikátů založených na softwaru a HSM. Spravované fondy HSM podporují pouze klíče založené na HSM. Kompletní podrobnosti najdete v přehledu rozhraní REST API služby Azure Key Vault.
Tady jsou další důležité pojmy:
Tenant: Tenant je organizace, která vlastní a spravuje konkrétní instanci cloudových služeb Microsoftu. Nejčastěji se používá k odkazování na sadu služeb Azure a Microsoft 365 pro organizaci.
Vlastník trezoru: Vlastník trezoru může vytvořit trezor klíčů a získat k němu úplný přístup a kontrolu. Vlastník trezoru může také nastavit auditování a protokolování toho, kdo získává přístup ke klíčům a tajným klíčům. Správci můžou řídit životní cyklus klíčů. Můžou přejít na novou verzi klíče, zálohovat ho a provádět související úlohy.
Uživatel trezoru: Uživatel trezoru může provádět akce s prostředky uvnitř trezoru, pokud mu vlastník trezoru udělí uživatelský přístup. Dostupné akce závisí na udělených oprávněních.
Spravované Správa istrátory HSM: Uživatelé, kteří mají přiřazenou roli Správa istrator, mají úplnou kontrolu nad spravovaným fondem HSM. Můžou vytvořit více přiřazení rolí pro delegování řízeného přístupu jiným uživatelům.
Spravovaný kryptografický důstojník/uživatel HSM: Předdefinované role, které jsou obvykle přiřazeny uživatelům nebo instančním objektům, které budou provádět kryptografické operace pomocí klíčů ve spravovaném HSM. Crypto User může vytvářet nové klíče, ale nemůže odstranit klíče.
Uživatel šifrování kryptografických služeb spravovaného HSM: Předdefinovaná role, která je obvykle přiřazená identitě spravované služby účtům služeb (například účet úložiště) pro šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem.
Prostředek: Prostředek je spravovatelná položka, která je k dispozici prostřednictvím Azure. Mezi běžné příklady patří virtuální počítač, účet úložiště, webová aplikace, databáze a virtuální síť. Existuje mnoho dalších.
Skupina prostředků: Skupina prostředků je kontejner, který obsahuje související prostředky pro řešení Azure. Skupina prostředků může zahrnovat všechny prostředky pro řešení nebo pouze ty prostředky, které chcete spravovat jako skupinu. Na základě toho, co je pro vaši organizaci nejvhodnější, rozhodnete, jakým způsobem se mají prostředky přidělovat do skupin prostředků.
Objekt zabezpečení: Objekt zabezpečení Azure je identita zabezpečení, kterou uživatelem vytvořené aplikace, služby a nástroje automatizace používají pro přístup ke konkrétním prostředkům Azure. Představte si ho jako identitu uživatele (uživatelské jméno a heslo nebo certifikát) s konkrétní rolí a úzce řízenými oprávněními. Objekt zabezpečení by měl na rozdíl od obecné identity uživatele provádět jenom konkrétní věci. Zvyšuje zabezpečení, pokud mu udělíte pouze minimální úroveň oprávnění, kterou potřebuje k provádění úloh správy. Instanční objekt používaný s aplikací nebo službou se nazývá instanční objekt.
Microsoft Entra ID: Microsoft Entra ID je služba Active Directory pro tenanta. Každý adresář má jednu nebo víc domén. K jednomu adresáři se dá přidružit několik předplatných, ale jenom jeden tenant.
ID tenanta Azure: ID tenanta je jedinečný způsob, jak identifikovat instanci Microsoft Entra v rámci předplatného Azure.
Spravované identity: Azure Key Vault nabízí způsob bezpečného ukládání přihlašovacích údajů a dalších klíčů a tajných kódů, ale váš kód se musí ověřit ve službě Key Vault, aby je načetl. Použití spravované identity usnadňuje řešení tohoto problému tím, že službám Azure poskytne automaticky spravovanou identitu v Microsoft Entra ID. Tuto identitu můžete použít k ověření ve službě Key Vault nebo jakékoli službě, která podporuje ověřování Microsoft Entra bez jakýchkoli přihlašovacích údajů ve vašem kódu. Další informace najdete na následujícím obrázku a přehled spravovaných identit pro prostředky Azure.
Ověřování
Pokud chcete se službou Key Vault provádět jakékoli operace, musíte se k němu nejdřív ověřit. Existují tři způsoby ověřování ve službě Key Vault:
- Spravované identity pro prostředky Azure: Když nasadíte aplikaci na virtuální počítač v Azure, můžete přiřadit identitu k virtuálnímu počítači, který má přístup ke službě Key Vault. Identity můžete také přiřadit k jiným prostředkům Azure. Výhodou tohoto přístupu je, že aplikace nebo služba nespravuje rotaci prvního tajného kódu. Azure automaticky obměňuje identitu. Tento přístup doporučujeme jako osvědčený postup.
- Instanční objekt a certifikát: Můžete použít instanční objekt a přidružený certifikát, který má přístup ke službě Key Vault. Tento přístup nedoporučujeme, protože vlastník aplikace nebo vývojář musí certifikát otočit.
- Instanční objekt a tajný klíč: Instanční objekt a tajný kód můžete použít k ověření ve službě Key Vault, nedoporučujeme ho. Je obtížné automaticky otočit tajný klíč bootstrap, který se používá k ověření ve službě Key Vault.
Šifrování dat při přenosu
Azure Key Vault vynucuje protokol TLS (Transport Layer Security ) k ochraně dat při přenosu mezi službou Azure Key Vault a klienty. Klienti vyjednávají připojení TLS se službou Azure Key Vault. TLS poskytuje silné ověřování, ochranu osobních údajů a integritu zpráv (umožňující detekci manipulace se zprávami, zachycení a padělání), interoperabilitu, flexibilitu algoritmů a snadné nasazení a použití.
Perfect Forward Secrecy (PFS) chrání propojení mezi klientskými systémy zákazníků a cloudovými službami Microsoftu jedinečnými klíči. Připojení iony také používají 2 048bitové délky šifrovacího klíče založeného na RSA. Tato kombinace znesnadňuje, aby někdo zachytil a získal přístup k datům, která jsou přenášena.
Role služby Key Vault
Následující tabulka vám pomůže lépe porozumět tomu, jak může Key Vault pomoci splnit potřeby vývojářů a správců zabezpečení.
| Role | Popis problému | Vyřešeno Azure Key Vault |
|---|---|---|
| Vývojář aplikace Azure | "Chci napsat aplikaci pro Azure, která používá klíče pro podepisování a šifrování. Ale chci, aby tyto klíče byly z aplikace externí, aby řešení bylo vhodné pro aplikaci, která je geograficky distribuovaná. Chci, aby tyto klíče a tajné klíče byly chráněné, bez nutnosti psát vlastní kód. Chci, aby tyto klíče a tajné kódy byly snadno použitelné z aplikací, s optimálním výkonem." |
√ Klíče jsou uložené v trezoru, a když je potřeba, volají se identifikátorem URI. √ Klíče jsou chráněné systémem Azure pomocí standardních algoritmů, délek klíčů a modulů hardwarového zabezpečení. √ Klíče se zpracovávají v modulech HSM umístěných ve stejných datových centrech jako aplikace. Tato metoda poskytuje větší spolehlivost a nižší latenci, než kdyby byly klíče umístěné v samostatném umístění, například místně. |
| Vývojář softwaru jako služby (SaaS) | "Nechci odpovědnost ani potenciální odpovědnost za klíče a tajné kódy tenanta zákazníků. Chci, aby zákazníci vlastní a spravovali své klíče, abych se mohl soustředit na to, co dělám nejlépe, což poskytuje základní softwarové funkce." |
√ Zákazníci můžou svoje klíče importovat do systému Azure a spravovat je. Když aplikace SaaS potřebuje provádět kryptografické operace pomocí klíčů zákazníků, služba Key Vault tyto operace provádí jménem aplikace. Aplikace nevidí klíče zákazníků. |
| Ředitel pro bezpečnost | "Chci vědět, že naše aplikace splňují moduly HSM FIPS 140 level 3 pro zabezpečenou správu klíčů. Chci se ujistit, že moje organizace má kontrolu nad životním cyklem klíčů a může monitorovat jejich využití. A i když používáme více služeb a prostředků Azure, chci klíče spravovat z jednoho umístění v Azure." |
√ Zvolte trezory nebo spravované HSM pro ověřené moduly HSM FIPS 140. √ Zvolte spravované fondy HSM pro ověřené moduly HSM úrovně 140–2 FIPS 3. √ Key Vault je navržený tak, aby společnost Microsoft vaše klíče neznala ani neextrahovala. √ Využití klíčů se protokoluje téměř v reálném čase. √ Trezor poskytuje jednotné rozhraní – bez ohledu na to, kolik trezorů v Azure máte, které oblasti podporují a které aplikace je používají. |
Trezory klíčů může vytvářet a používat každý, kdo má předplatné Azure. I když key Vault přináší výhody vývojářům a správcům zabezpečení, může ho implementovat a spravovat správce organizace, který spravuje další služby Azure. Tento správce se například může přihlásit pomocí předplatného Azure, vytvořit trezor pro organizaci, do které se mají ukládat klíče, a pak být zodpovědný za provozní úlohy, jako jsou tyto:
- Vytvoření nebo import klíče nebo tajného klíče
- Odvolání nebo odstranění klíče nebo tajného klíče
- Autorizace uživatelů nebo aplikací k přístupu k trezoru klíčů, aby potom mohli spravovat nebo používat jeho klíče a tajné klíče
- Konfigurace používání klíčů (například podepisování nebo šifrování)
- Sledování používání klíčů
Tento správce pak vývojářům poskytne identifikátory URI, které budou volat ze svých aplikací. Tento správce také poskytne správci zabezpečení informace o protokolování použití klíčů.
Vývojáři také mohou spravovat klíče přímo, pomocí rozhraní API. Další informace najdete v příručce pro vývojáře Key Vault.
Další kroky
- Seznamte se s funkcemi zabezpečení služby Azure Key Vault.
- Informace o zabezpečení spravovaných fondů HSM
Azure Key Vault je dostupný ve většině oblastí. Další informace najdete na stránce s cenami Key Vault.