Fiabilité dans Azure Key Vault

Azure Key Vault est un service cloud qui fournit un magasin sécurisé pour les secrets, tels que les clés, les mots de passe, les certificats et d’autres informations sensibles. Key Vault fournit une gamme de fonctionnalités de fiabilité intégrées pour vous assurer que vos secrets restent disponibles.

Lorsque vous utilisez Azure, la fiabilité est une responsabilité partagée. Microsoft fournit une gamme de fonctionnalités pour prendre en charge la résilience et la récupération. Vous êtes responsable de comprendre le fonctionnement de ces fonctionnalités dans tous les services que vous utilisez et de sélectionner les fonctionnalités dont vous avez besoin pour atteindre vos objectifs métier et vos objectifs de temps d’activité.

Cet article décrit en quoi Key Vault est résilient aux diverses pannes et problèmes potentiels, notamment les pannes temporaires, les pannes de zone de disponibilité et les pannes de région. Il décrit également comment utiliser des sauvegardes pour récupérer à partir d’autres types de problèmes, de fonctionnalités de récupération pour empêcher la suppression accidentelle et met en évidence certaines informations clés sur le contrat de niveau de service Key Vault (SLA).

Recommandations de déploiement de production pour la fiabilité

Pour les charges de travail de production, nous vous recommandons de :

• Utilisez des coffres de clés de niveau Standard ou Premium.
• Activez la protection contre la suppression réversible et le vidage pour empêcher la suppression accidentelle ou malveillante.
• Pour les charges de travail critiques, envisagez d’implémenter des stratégies multirégions décrites dans ce guide.

Vue d’ensemble de l’architecture de fiabilité

Pour garantir une durabilité et une disponibilité élevées de vos clés, secrets et certificats si une défaillance matérielle ou une panne réseau se produit, Key Vault fournit plusieurs couches de redondance pour maintenir la disponibilité pendant les événements suivants :

• Défaillances matérielles
• Pannes réseau
• Catastrophes localisées
• Activités de maintenance

Par défaut, Key Vault obtient la redondance en répliquant votre coffre de clés et son contenu dans la région.

Si la région a une région jumelée et que la région jumelée se trouve dans la même zone géographique que la région primaire, le contenu est également répliqué dans la région jumelée. Cette approche garantit une durabilité élevée de vos clés et secrets, qui protège contre les défaillances matérielles, les pannes réseau ou les sinistres localisés.

Résilience aux erreurs temporaires

Les erreurs temporaires sont des défaillances courtes et intermittentes dans les composants. Elles se produisent fréquemment dans un environnement distribué comme le cloud, et font partie intégrante des opérations ordinaires. Les erreurs temporaires se corrigent après une courte période de temps. Il est important que vos applications puissent gérer les erreurs temporaires, généralement en réessayant les requêtes affectées.

Toutes les applications hébergées dans le cloud doivent suivre les instructions de gestion des erreurs temporaires Azure lorsqu’elles communiquent avec toutes les API, bases de données et autres composants hébergés dans le cloud. Pour plus d’informations, consultez Recommandations pour la gestion des erreurs temporaires.

Pour gérer les défaillances temporaires qui peuvent se produire, vos applications clientes doivent implémenter une logique de nouvelle tentative lorsqu’elles interagissent avec Key Vault. Envisagez les meilleures pratiques suivantes :

• Utilisez les Kits de développement logiciel (SDK) Azure, qui incluent généralement des mécanismes de nouvelle tentative intégrés.

• Implémentez des politiques de réessai avec repli exponentiel si vos clients se connectent directement à Key Vault.

• Cachez les secrets en mémoire lorsque cela est possible pour réduire les requêtes directes vers Key Vault.

• Surveillez les erreurs de limitation, car le dépassement des limites de service Key Vault entraîne la limitation.

Si vous utilisez Key Vault dans des scénarios à haut débit, envisagez de distribuer vos opérations sur plusieurs coffres de clés pour éviter les limites de limitation. Tenez compte des conseils spécifiques à Key Vault pour les scénarios suivants :

• Un scénario à débit élevé est un scénario qui approche ou dépasse les limites de service pour les opérations Key Vault, telles que 200 opérations par seconde pour les clés protégées par logiciel.

• Pour les charges de travail à débit élevé, divisez votre trafic Key Vault entre plusieurs coffres et différentes régions.

• La limite d’abonnement pour tous les types de transactions est fixée à cinq fois la limite d’un coffre de clés.

• Utilisez un coffre distinct pour chaque domaine de sécurité ou de disponibilité. Par exemple, si vous avez cinq applications dans deux régions, envisagez d’utiliser 10 coffres.

• Pour les opérations de clé publique telles que le chiffrement, l’habillage et la vérification, effectuez ces opérations localement en mettant en cache le matériel de clé publique.

Pour plus d’informations, consultez Instructions relatives à la limitation de Key Vault.

Résilience aux échecs de zone de disponibilité

Les zones de disponibilité sont des groupes physiquement distincts de centres de données au sein d’une région Azure. Lorsqu'une zone tombe en panne, les services peuvent basculer vers l'une des zones restantes.

Key Vault fournit automatiquement une redondance de zone dans les régions qui prennent en charge les zones de disponibilité. Cette redondance offre une haute disponibilité au sein d’une région sans nécessiter de configuration spécifique.

Lorsqu’une zone de disponibilité devient indisponible, Key Vault redirige automatiquement vos demandes vers d’autres zones de disponibilité saines pour garantir la haute disponibilité.

Soutien régional

Key Vault active la redondance de zone par défaut dans toutes les régions Azure qui prennent en charge les zones de disponibilité.

Spécifications

Toutes les références SKU Key Vault, Standard et Premium, prennent en charge le même niveau de disponibilité et de résilience. Il n’existe aucune exigence spécifique au niveau pour atteindre la résilience de zone.

Coûts

Il n’existe aucun coût supplémentaire associé à la redondance de zone dans Key Vault. La tarification est basée sur la référence SKU, Standard ou Premium, et le nombre d’opérations effectuées.

Comportement lorsque toutes les zones sont saines

Cette section décrit ce à quoi s'attendre lorsque les coffres à clés se trouvent dans une région qui a des zones de disponibilité et que toutes les zones de disponibilité sont opérationnelles :

• Routage du trafic entre les zones : Key Vault gère automatiquement le routage du trafic entre les zones de disponibilité. Pendant les opérations normales, les requêtes sont réparties de manière transparente entre les zones.

• Réplication des données entre les zones : Les données Key Vault sont répliquées de manière synchrone entre les zones de disponibilité dans les régions qui prennent en charge les zones. Cette réplication garantit que vos clés, secrets et certificats restent cohérents et disponibles même si une zone devient indisponible.

Comportement lors d’une défaillance de zone

La section suivante décrit ce qui doit être attendu lorsque les coffres de clés se trouvent dans une région qui a des zones de disponibilité et qu’une ou plusieurs de ces zones ne sont pas disponibles :

• Détection et réponse : Le service Key Vault est chargé de détecter les défaillances de zone et de y répondre automatiquement. Vous n’avez rien à faire pendant une défaillance de zone.

• Notification : Microsoft ne vous avertit pas automatiquement lorsqu’une zone est en panne. Toutefois, vous pouvez utiliser Azure Resource Health pour surveiller l’intégrité d’une ressource individuelle, et vous pouvez configurer des alertes Resource Health pour vous avertir des problèmes. Vous pouvez également utiliser Azure Service Health pour comprendre l’intégrité globale du service, y compris les défaillances de zone, et vous pouvez configurer des alertes Service Health pour vous avertir des problèmes.

• Demandes actives : Lors d’une défaillance de zone, la zone affectée peut ne pas gérer les demandes en cours d’exécution, ce qui nécessite que les applications clientes les réessayent. Les applications clientes doivent suivre les pratiques de gestion des erreurs temporaires pour s’assurer qu’elles peuvent réessayer les demandes si une défaillance de zone se produit.

• Perte de données attendue : Aucune perte de données n’est attendue lors d’une défaillance de zone en raison de la réplication synchrone entre les zones.

• Temps d’arrêt attendu : Pour les opérations de lecture, il doit y avoir un temps d'arrêt minimal voire nul pendant une défaillance de zone. Les opérations d’écriture peuvent rencontrer une indisponibilité temporaire pendant que le service s'adapte à la panne de zone. Les opérations de lecture sont censées rester disponibles pendant les défaillances de zone.

• Réacheminement du trafic : Key Vault redirige automatiquement le trafic de la zone affectée vers des zones saines sans nécessiter d’intervention du client.

Récupération de la zone

Lorsque la zone de disponibilité affectée récupère, Key Vault restaure automatiquement les opérations dans cette zone. La plateforme Azure gère entièrement ce processus et ne nécessite aucune intervention du client.

Résilience aux défaillances à l’échelle de la région

Les ressources Key Vault sont déployées dans une seule région Azure. Si la région devient indisponible, votre coffre de clés n’est pas disponible. Toutefois, il existe des approches que vous pouvez utiliser pour garantir la résilience aux pannes de région. Ces approches varient selon que le coffre de clés se trouve dans une région jumelée ou non associée et selon vos exigences et configuration spécifiques.

Basculement managé par Microsoft vers une région couplée

Key Vault prend en charge la réplication et le basculement gérés par Microsoft pour les coffres de clés dans la plupart des régions jumelées. Le contenu de votre coffre de clés est répliqué automatiquement dans la région et, de façon asynchrone, dans la région jumelée. Cette approche garantit une durabilité élevée de vos clés et secrets. En cas de défaillance de région prolongée, Microsoft peut lancer un basculement régional de votre coffre de clés.

Les régions suivantes ne prennent pas en charge la réplication ou le basculement gérés par Microsoft entre les régions :

• Brésil Sud
• Brésil Sud-Est
• Ouest des États-Unis 3
• N’importe quelle région qui n’a pas de région jumelée

Important

Microsoft déclenche le basculement géré par Microsoft. Il est probable qu’il se produise après un retard important et qu’il soit effectué en fonction des meilleures possibilités. Il existe également des exceptions à ce processus. Le basculement des coffres de clés peut se produire à un moment différent de l’heure de basculement des autres services Azure.

Si vous devez être résilient aux pannes de région, envisagez d’utiliser l’une des solutions multirégions personnalisées pour la résilience.

Vous pouvez également utiliser la fonctionnalité de sauvegarde et restauration pour répliquer le contenu de votre coffre dans une autre région de votre choix.

Considérations

• Temps d’arrêt : Pendant que le basculement est en cours, votre coffre de clés peut être indisponible pendant quelques minutes.

• Lecture seule après le basculement : Après le basculement, le coffre de clés devient en lecture seule et prend uniquement en charge les actions limitées. Vous ne pouvez pas modifier les propriétés du coffre de clés lors de l’exploitation dans la région secondaire, et les configurations de stratégie d’accès et de pare-feu ne peuvent pas être modifiées lors de l’exploitation dans la région secondaire.

  Lorsque votre coffre de clés est en mode lecture seule, seules les opérations suivantes sont prises en charge :

  • Afficher la liste des certificats
  • Obtenir des certificats
  • List secrets (Afficher la liste des secrets)
  • Get secrets (Obtenir les secrets)
  • List keys (Afficher la liste des clés)
  • Get (properties of) keys (Obtenir les propriétés des clés)
  • Encrypt (Chiffrer)
  • Decrypt (Déchiffrer)
  • Wrap (Encapsuler)
  • Unwrap (Désencapsuler)
  • Verify
  • Sign (Signer)
  • Backup

Coûts

Il n’existe aucun coût supplémentaire pour les fonctionnalités de réplication multirégion intégrées de Key Vault.

Comportement lorsque toutes les régions sont saines

La section suivante décrit ce qui doit être attendu lorsqu’un coffre de clés se trouve dans une région qui prend en charge la réplication et le basculement gérés par Microsoft et la région primaire est opérationnelle :

• Routage du trafic entre les régions : Lors du fonctionnement normal, toutes les requêtes sont routées vers la région principale où votre coffre-fort de clés est déployé.

• Réplication des données entre les régions : Key Vault réplique les données de manière asynchrone dans la région jumelée. Lorsque vous apportez des modifications à votre contenu de coffre de clés, ces modifications sont d’abord validées dans la région primaire, puis répliquées dans la région secondaire.

Comportement lors d’une défaillance de région

La section suivante décrit ce qu’il faut attendre lorsqu’un coffre de clés se trouve dans une région qui prend en charge la réplication et le basculement gérés par Microsoft et qu’il existe une panne dans la région primaire :

• Détection et réponse : Microsoft peut décider d’effectuer un basculement si la région primaire est perdue. Ce processus peut prendre plusieurs heures après la perte de la région primaire ou plus longtemps dans certains scénarios. Le basculement de coffres de clés peut ne pas se produire en même temps que d’autres services Azure.

• Notification : Microsoft ne vous avertit pas automatiquement lorsqu’une zone est en panne. Toutefois, vous pouvez utiliser Azure Resource Health pour surveiller l’intégrité d’une ressource individuelle, et vous pouvez configurer des alertes Resource Health pour vous avertir des problèmes. Vous pouvez également utiliser Azure Service Health pour comprendre l’intégrité globale du service, y compris les défaillances de zone, et vous pouvez configurer des alertes Service Health pour vous avertir des problèmes.

• Demandes actives : Lors d’un basculement de région, les requêtes actives peuvent échouer et les applications clientes doivent les réessayer une fois le basculement terminé.

• Perte de données attendue : Il peut y avoir une perte de données si les modifications ne sont pas répliquées dans la région secondaire avant l’échec de la région primaire.

• Temps d’arrêt attendu : lors d’une panne majeure de la région primaire, votre coffre de clés peut être indisponible pendant plusieurs heures ou jusqu’à ce que Microsoft lance le basculement vers la région secondaire.

  Si vous utilisez Private Link pour vous connecter à votre coffre de clés, la reconnexion peut prendre jusqu’à 20 minutes après le basculement de la région.

• Réacheminement du trafic : Une fois le basculement de région terminé, les demandes sont automatiquement acheminées vers la région jumelée sans nécessiter d’intervention du client.

Solutions multirégions personnalisées pour la résilience

Il existe des scénarios où les fonctionnalités de basculement inter-régions gérées par Microsoft de Key Vault ne conviennent pas :

• Votre coffre de clés se trouve dans une région non souhaitée.

• Votre coffre de clés se trouve dans une région jumelée qui ne prend pas en charge la réplication et le basculement interrégion gérés par Microsoft dans les régions Brésil Sud, Brésil Sud-Est et USA Ouest 3.

• Vos objectifs de disponibilité métier ne sont pas satisfaits par le temps de récupération ou la perte de données offert par le basculement interrégional géré par Microsoft.

• Vous devez basculer vers une région qui n’est pas jumelée à votre région principale.

Vous pouvez concevoir une solution de basculement interrégion personnalisée en suivant les étapes suivantes :

1. Créez des coffres de clés distincts dans différentes régions.

2. Utilisez la fonctionnalité de sauvegarde et de restauration pour maintenir des secrets cohérents entre les régions.

3. Implémentez la logique au niveau de l’application pour basculer entre les coffres de clés.

Sauvegarde et restauration

Key Vault peut sauvegarder et restaurer des secrets, des clés et des certificats individuels. Les sauvegardes sont destinées à vous fournir une copie hors connexion de vos secrets dans le cas peu probable où vous perdez l’accès à votre coffre de clés.

Tenez compte des facteurs clés suivants concernant les fonctionnalités de sauvegarde :

• Les sauvegardes créent des objets blob chiffrés qui ne peuvent pas être déchiffrés en dehors d’Azure.

• Les sauvegardes peuvent uniquement être restaurées dans un coffre de clés au sein du même abonnement Azure et de la zone géographique Azure.

• Il y a une limitation au nombre de sauvegardes possibles, ne dépassant pas 500 versions antérieures d’une clé, d’un secret ou d’un certificat.

• Les sauvegardes sont des instantanés ponctuels et ne s'actualisent pas automatiquement lorsque les secrets se modifient.

Pour la plupart des solutions, vous ne devez pas vous appuyer exclusivement sur les sauvegardes. Utilisez plutôt les autres fonctionnalités décrites dans ce guide pour prendre en charge vos exigences de résilience. Toutefois, les sauvegardes protègent contre certains risques que d’autres approches ne sont pas, telles que la suppression accidentelle de secrets spécifiques. Pour plus d’informations, consultez la sauvegarde de Key Vault.

Fonctionnalités de récupération

Key Vault fournit deux fonctionnalités de récupération clés pour empêcher la suppression accidentelle ou malveillante :

• Suppression réversible : lorsqu’elle est activée, la suppression réversible vous permet de récupérer des coffres et des objets supprimés pendant une période de rétention configurable. Cette période est une valeur par défaut de 90 jours. Pensez à la suppression réversible comme une corbeille pour vos ressources de coffre de clés.

• Protection contre le vidage : Lorsqu’elle est activée, la protection contre le vidage empêche la suppression définitive de votre coffre de clés et de ses objets jusqu’à ce que la période de rétention se soit écoulée. Cette protection empêche les acteurs malveillants de détruire définitivement vos secrets.

Nous vous recommandons vivement les deux fonctionnalités pour les environnements de production. Pour plus d’informations, consultez Suppression réversible et protection contre le vidage dans la documentation de gestion de la récupération Key Vault.

Contrat de niveau de service

Le contrat de niveau de service (SLA) pour les services Azure décrit la disponibilité attendue de chaque service et les conditions que votre solution doit respecter pour atteindre cette attente de disponibilité. Pour plus d’informations, consultez les contrats SLA pour les services en ligne.

Contenu connexe

• Sauvegarde de Key Vault
• Gestion de la récupération de Key Vault
• Fiabilité dans Azure