Mehrinstanzenfähigkeit und Azure Key Vault
Azure Key Vault dient der Verwaltung sicherer Daten für Ihre Lösung, einschließlich Geheimnisse, Verschlüsselungsschlüssel und Zertifikate. In diesem Artikel werden einige der Features von Azure Key Vault vorgestellt, die für mehrinstanzenfähige Lösungen nützlich sind. Wir bieten außerdem Links zu den Anleitungen, die Ihnen bei der Planung der Nutzung von Key Vault helfen können.
Isolationsmodelle
Bei der Arbeit mit einem mehrinstanzenfähigen System, das Azure Key Vault nutzt, müssen Sie eine Entscheidung zum gewünschten Isolationsgrad treffen. Die Wahl des Isolationsmodells hängt von den folgenden Faktoren ab:
- Für wie viele Mandanten planen Sie?
- Geben Sie Ihre Anwendungsebene für mehrere Mandanten frei? Stellen Sie Anwendungsinstanzen für einen einzelnen Mandanten oder für jeden Mandanten einen eigenen Bereitstellungsstempel bereit?
- Müssen Ihre Mandanten ihre eigenen Verschlüsselungsschlüssel verwalten?
- Gelten für Ihre Mandanten Vorschriften, die verlangen, dass ihre Geheimnisse getrennt von denen anderer Mandanten gespeichert werden?
In der folgenden Tabelle werden die Unterschiede der wichtigsten Mandantenmodelle für Key Vault erläutert:
| Aspekt | Tresor pro Mandant im Abonnement des Anbieters | Tresor pro Mandant im Abonnement des Mandanten | Freigegebener Tresor |
|---|---|---|---|
| Datenisolation | High | Sehr hoch | Niedrig |
| Leistungsisolation | Mittel. Hoher Durchsatz ggf. begrenzt, selbst bei vielen Tresoren | High | Niedrig |
| Bereitstellungskomplexität | Niedrig bis mittel, je nach Anzahl der Mandanten | Hoch. Der Mandant muss dem Anbieter ordnungsgemäß Zugriff gewähren | Niedrig |
| Komplexität des Betriebs | High | Niedrig für den Anbieter, höher für den Mandanten | Niedrigste |
| Beispielszenario | Einzelne Anwendungsinstanzen pro Mandant | Von Kunden verwaltete Verschlüsselungsschlüssel | Große Lösung mit mehreren Mandanten mit freigegebener Anwendungsebene |
Tresor pro Mandant im Abonnement des Anbieters
Sie können erwägen, einen Tresor für jeden Ihrer Mandanten innerhalb Ihres Azure-Abonnements (des Dienstanbieters) bereitzustellen. Dieser Ansatz ermöglicht Ihnen eine strikte Datenisolation zwischen den Daten der einzelnen Mandanten, erfordert jedoch, dass Sie eine zunehmende Anzahl von Tresoren bereitstellen und verwalten, sobald Sie die Anzahl der Mandanten erhöhen.
Die Anzahl der Tresore, die Sie in einem Azure-Abonnement bereitstellen können, ist unbegrenzt. Sie sollten jedoch die folgenden Grenzwerte beachten:
- Es gelten abonnementweite Obergrenzen für die Anzahl der Anforderungen innerhalb eines Zeitraums. Diese Grenzwerte gelten unabhängig von der Anzahl der Tresore im Abonnement. Daher ist es wichtig, dass Sie unsere Anleitungen zur Drosselung befolgen, selbst wenn Sie über mandantenspezifische Tresore verfügen.
- Die Anzahl der Rollenzuweisungen innerhalb eines Abonnements ist begrenzt. Wenn Sie eine große Anzahl von Tresoren in einem Abonnement bereitstellen und konfigurieren, können Sie sich diesen Obergrenzen nähern.
Tresor pro Mandant im Abonnement des Mandanten
In bestimmten Situationen erstellen Ihre Mandanten möglicherweise Tresore in ihren eigenen Azure-Abonnements und möchten Ihrer Anwendung Zugriff auf Geheimnisse, Zertifikate oder Schlüssel gewähren. Dieser Ansatz ist geeignet, wenn Sie kundenseitig verwaltete Schlüssel für die Verschlüsselung innerhalb Ihrer Lösung zulassen.
Um auf die Daten im Tresor Ihres Mandanten zugreifen zu können, muss der Mandant Ihrer Anwendung Zugriff auf seinen Tresor gewähren. Dieser Prozess setzt voraus, dass sich Ihre Anwendung über die Microsoft Entra-Instanz authentifiziert. Eine Möglichkeit besteht darin, eine mehrinstanzenfähige Microsoft Entra-Anwendung zu veröffentlichen. Ihre Mandanten müssen einen einmaligen Einwilligungsprozess ausführen. Der Mandant registriert zuerst die mehrinstanzenfähige Microsoft Entra-Anwendung im eigenen Microsoft Entra-Mandanten. Dann gewähren sie Ihrer mehrinstanzenfähigen Microsoft Entra-Anwendung die entsprechende Zugriffsebene für ihren Tresor. Sie müssen Ihnen auch die vollständige Ressourcen-ID des Tresors mitteilen, den sie erstellt haben. Dann kann Ihr Anwendungscode einen Dienstprinzipal verwenden, der der mehrinstanzenfähigen Microsoft Entra-Anwendung in Ihrer eigenen Microsoft Entra ID zugeordnet ist, um auf den Tresor der einzelnen Mandanten zuzugreifen.
Alternativ können Sie jeden Mandanten bitten, ein Dienstprinzipal für Ihren Dienst zu erstellen und Ihnen dessen Anmeldeinformationen mitzuteilen. Dieser Ansatz setzt jedoch voraus, dass Sie die Anmeldeinformationen jedes Mandanten sicher aufbewahren und verwalten, was ein potenzielles Sicherheitsrisiko darstellt.
Wenn Ihre Mandanten Netzwerkzugriffssteuerungen für ihre Tresore konfigurieren, stellen Sie sicher, dass Sie auf die Tresore zugreifen können.
Freigegebene Tresore
Sie können sich entscheiden, die Geheimnisse der Mandanten in einem einzelnen Tresor freizugeben. Der Tresor wird in Ihrem Azure-Abonnement (dem des Lösungsanbieters) bereitgestellt, und Sie sind für dessen Verwaltung verantwortlich. Dieser Ansatz ist zwar der einfachste, bietet aber bietet die geringste Daten- und Leistungsisolation.
Sie können auch mehrere freigegebene Tresore bereitstellen. Wenn Sie beispielsweise dem Muster für Bereitstellungsstempel folgen, ist es wahrscheinlich, dass Sie in jedem Stempel einen freigegebenen Tresor bereitstellen. Wenn Sie eine Lösung für mehrere Regionen bereitstellen, sollten Sie aus den folgenden Gründen Tresore in jeder Region bereitstellen:
- Vermeiden von Latenz beim regionsübergreifenden Datenverkehr beim Arbeiten mit den Daten in Ihrem Tresor
- Erfüllen von Anforderungen an Datenresidenz
- Ermöglichen der Nutzung regionaler Tresore innerhalb anderer Dienste, die eine Bereitstellung in derselben Region erfordern
Wenn Sie mit einem freigegebenen Tresor arbeiten, ist es wichtig, dass Sie die Anzahl der Vorgänge berücksichtigen, die auf den Tresor angewendet werden. Vorgänge umfassen das Lesen von Geheimnissen sowie die Ver- und Entschlüsselung. Key Vault begrenzt die Anzahl der Anforderungen, die an einen einzelnen Tresor und an alle Tresore innerhalb eines Azure-Abonnements gestellt werden können. Befolgen Sie unbedingt die Anleitungen zur Drosselung. Es ist wichtig, die empfohlenen Vorgehensweisen zu befolgen. Dazu gehörigen die sichere Zwischenspeicherung der von Ihnen abgerufenen Geheimnisse und Verwendung der Umschlagverschlüsselung, um zu vermeiden, dass jeder Verschlüsselungsvorgang an Key Vault gesendet wird. Wenn Sie diese bewährten Methoden befolgen, können Sie umfangreiche Lösungen mit einem einzigen Tresor betreiben.
Wenn Sie mandantenspezifische Geheimnisse, Schlüssel oder Zertifikate speichern müssen, sollten Sie eine Benennungskonvention wie ein Namenspräfix erwägen. Sie können beispielsweise die Mandanten-ID dem Namen eines jeden Geheimnisses voranstellen. Anschließend kann Ihr Anwendungscode ganz einfach den Wert eines bestimmten Geheimnisses für einen bestimmten Mandanten laden.
Features von Azure Key Vault, die Mehrinstanzenfähigkeit unterstützen
Tags
Key Vault unterstützt das Kennzeichnen von Geheimnissen, Zertifikaten und Schlüsseln mit benutzerdefinierten Metadaten in Form von Tags, sodass Sie mithilfe eines Tags die Mandanten-ID jedes mandantenspezifischen Geheimnisses nachverfolgen können. Key Vault unterstützt jedoch keine Abfrage nach Tags, weshalb sich dieses Feature am besten für Verwaltungszwecke und nicht für die Verwendung innerhalb Ihrer Anwendungslogik eignet.
Weitere Informationen:
Azure Policy-Unterstützung
Wenn Sie sich für das Bereitstellen einer großen Anzahl von Tresoren entscheiden, ist es wichtig, dass dabei ein einheitlicher Standard für die Konfiguration von Netzwerkzugriff, Protokollierung und Zugriffssteuerung befolgt wird. Ziehen Sie Azure Policy in Betracht, um zu überprüfen, ob die Tresore Ihren Anforderungen entsprechend konfiguriert sind.
Weitere Informationen:
Verwaltetes HSM und Dedicated HSM
Wenn eine große Anzahl von Vorgängen pro Sekunde erfolgen muss und die für den Key Vault-Betrieb geltenden Grenzwerte ungeeignet sind, sollten Sie entweder verwaltetes HSM oder Dedicated HSM verwenden. Beide Produkte bieten Ihnen eine reservierte Kapazitätsmenge, sind aber in der Regel kostenintensiver als Key Vault. Beachten Sie außerdem die Obergrenzen für die Anzahl der Instanzen dieser Dienste, die Sie in jeder Region bereitstellen können.
Weitere Informationen:
- Wie kann ich entscheiden, ob Azure Key Vault oder Azure Dedicated HSM verwendet werden sollte?
- Ist der Azure-Dienst für dedizierte HSMs das Richtige für Sie?
Beitragende
Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:
Hauptautor:
- John Downs | Principal Customer Engineer, FastTrack for Azure
Andere Mitwirkende:
- Jack Lichwa | Principal Product Manager, Azure Key Vault
- Arsen Vladimirskiy | Principal Customer Engineer, FastTrack for Azure
Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.
Nächste Schritte
Lesen Sie Bereitstellungs- und Konfigurationsansätze für die Mehrinstanzenfähigkeit.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für