Erkunden von Azure Key Vault

Abgeschlossen

Der Azure Key Vault-Dienst unterstützt zwei Arten von Containern: Tresore und verwaltete Pools mit Hardwaresicherheitsmodulen (HSMs). Tresore unterstützen die Speicherung von Software und HSM-gestützten Schlüsseln, Geheimnissen und Zertifikaten. Verwaltete HSM-Pools unterstützen nur HSM-gestützte Schlüssel.

Mit Azure Key Vault lassen sich folgende Probleme lösen:

  • Geheimnisverwaltung: Azure Key Vault ermöglicht die sichere Speicherung und präzise Steuerung des Zugriffs auf Token, Kennwörter, Zertifikate, API-Schlüssel und andere Geheimnisse.

  • Schlüsselverwaltung: Azure Key Vault kann auch als Schlüsselverwaltungslösung verwendet werden. Azure Key Vault vereinfacht das Erstellen und Verwalten der zur Verschlüsselung Ihrer Daten verwendeten Verschlüsselungsschlüssel.

  • Zertifikatverwaltung: Azure Key Vault ist zudem ein Dienst, mit dem Sie komfortabel öffentliche und private SSL/TLS-Zertifikate (Secure Sockets Layer/Transport Layer Security) für die Verwendung mit Azure und Ihren internen verbundenen Ressourcen beziehen, verwalten und bereitstellen können.

Azure Key Vault verfügt über zwei Dienstebenen: Die Dienstebene „Standard“ verschlüsselt mit einem Softwareschlüssel, und die Dienstebene „Premium“ enthält durch HSM (Hardwaresicherheitsmodul) geschützte Schlüssel. Einen Vergleich zwischen den Ebenen „Standard“ und „Premium“ finden Sie auf der Seite Azure Key Vault – Preise.

Wichtige Vorteile der Nutzung von Azure Key Vault

  • Zentralisierte Anwendungsgeheimnisse: Durch die Zentralisierung der Speicherung von Anwendungsgeheimnissen in Azure Key Vault können Sie deren Verteilung steuern. Anstatt die Verbindungszeichenfolge beispielsweise im Code der App zu speichern, ist dies auf sichere Weise in Key Vault möglich. Ihre Anwendungen können mithilfe von URIs sicher auf benötigte Informationen zugreifen. Diese URIs bieten den Anwendungen die Möglichkeit, bestimmte Versionen eines geheimen Schlüssels abzurufen.

  • Sicheres Speichern von Geheimnissen und Schlüsseln: Für den Zugriff auf einen Schlüsseltresor ist die korrekte Authentifizierung und Autorisierung erforderlich, bevor ein Aufrufer (Benutzer oder Anwendung) Zugriff erhalten kann. Die Authentifizierung erfolgt über Azure Active Directory. Für die Autorisierung kann die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) oder eine Key Vault-Zugriffsrichtlinie verwendet werden. Azure RBAC kommt bei der Verwaltung der Tresore zum Einsatz. Eine Key Vault-Zugriffsrichtlinie wird für den Zugriff auf gespeicherte Daten in einem Tresor verwendet. Azure Key Vaults kann entweder durch Software geschützt oder mit der Azure Key Vault-Ebene „Premium“ durch Hardwaresicherheitsmodule (HSMs) per Hardware geschützt sein.

  • Überwachen des Zugriffs und der Nutzung: Sie können die Aktivitäten überwachen, indem Sie die Protokollierung für Ihre Tresore aktivieren. Sie haben die Kontrolle über Ihre Protokolle: Sie können den Zugriff auf Protokolle einschränken, um sie zu schützen, und Sie können nicht mehr benötigte Protokolle löschen. Azure Key Vault kann für folgende Zwecke konfiguriert werden:

    • Archivieren in einem Speicherkonto
    • Streamen an einen Event Hub
    • Senden der Protokolle an Azure Monitor-Protokolle
  • Einfachere Verwaltung von Anwendungsgeheimnissen: Sicherheitsinformationen müssen geschützt werden, einem Lebenszyklus folgen und hoch verfügbar sein. Azure Key Vault vereinfacht das Erfüllen dieser Anforderungen durch:

    • Beseitigung des Bedarfs für interne Kenntnisse von Hardware-Sicherheitsmodellen
    • Kurzfristige zentrale Hochskalierung zur Abdeckung von Auslastungsspitzen Ihrer Organisation
    • Replikation des Inhalts Ihrer Key Vault-Instanz innerhalb einer Region und in einer sekundären Region. Die Datenreplikation gewährleistet die Hochverfügbarkeit der Informationen, und ein Failover kann ganz ohne Eingriff des Administrators ausgelöst werden.
    • Bereitstellung standardmäßiger Azure-Verwaltungsoptionen über das Portal, die Azure-Befehlszeilenschnittstelle und PowerShell
    • Automatisierung bestimmter Aufgaben im Zusammenhang mit Zertifikaten, die Sie von öffentlichen Zertifizierungsstellen erwerben (z.B. Registrierung und Verlängerung)