À propos d’Azure Key Vault

Azure Key Vault est l’une des nombreuses solutions de gestion des clés dans Azure, et aide à résoudre les problèmes suivants :

  • Gestion des secrets : Azure Key Vault peut être utilisé pour stocker en toute sécurité les jetons, mots de passe, certificats, clés API et autres secrets, et pour en contrôler étroitement l’accès.
  • Gestion des clés : Azure Key Vault peut servir de solution de gestion de clés. Azure Key Vault simplifie la création et le contrôle des clés de chiffrement utilisées pour chiffrer vos données.
  • Gestion des certificats : Azure Key Vault vous permet de provisionner, gérer et déployer facilement des certificats SSL/TLS publics et privés pour une utilisation avec Azure et vos ressources connectées internes.

Azure Key Vault a deux niveaux de service : Standard, qui chiffre avec une clé logicielle, et Premium, qui inclut des clés protégées par HSM (module de sécurité matériel). Pour obtenir une comparaison entre les niveaux Standard et Premium, consultez la page de tarification d’Azure Key Vault.

Notes

Confiance Zéro est une stratégie de sécurité comprenant trois principes : « Vérifiez explicitement », « Utilisez l’accès à privilèges minimum » et « Supposez une violation ». La protection des données, y compris la gestion des clés, prend en charge le principe « Utilisez l’accès à privilèges minimum ». Pour plus d’informations, consultez Qu’est-ce qu’une Confiance Zéro ?

Pourquoi utiliser Azure Key Vault ?

Centraliser les secrets d’application

La centralisation du stockage des secrets d’application dans Azure Key Vault vous permet de contrôler la distribution de ces secrets. Key Vault réduit considérablement les risques de fuite accidentelle des secrets. Lorsque les développeurs d’applications utilisent Key Vault, ils n’ont plus besoin de stocker des informations de sécurité dans leur application. Ne pas avoir à stocker les informations de sécurité dans les applications élimine le besoin d’intégrer ces informations au code. Considérons l’exemple d’une application ayant besoin de se connecter à une base de données. Dans ce cas, plutôt que d’inclure la chaîne de connexion dans le code de l’application, vous pouvez simplement la stocker en toute sécurité dans Key Vault.

Vos applications peuvent accéder en toute sécurité aux informations nécessaires en utilisant des URI. Ces URI permettent aux applications de récupérer des versions spécifiques d’un secret. Aucune écriture de code personnalisé n’est nécessaire pour protéger les informations secrètes stockées dans Key Vault.

Stocker en toute sécurité les secrets et clés

L’accès à un coffre de clés par un appelant (utilisateur ou application) requiert une authentification et une autorisation adéquates. L’authentification établit l’identité de l’appelant, tandis que l’autorisation détermine les opérations que ce dernier est autorisé à effectuer.

L’authentification est effectuée via Microsoft Entra ID. L’autorisation peut être assurée par l’intermédiaire du mécanisme de contrôle d’accès en fonction du rôle Azure (Azure RBAC) ou d’une stratégie d’accès à Key Vault. Vous pouvez utiliser Azure RBAC pour la gestion des coffres ainsi que pour accéder aux données stockées dans un coffre, alors que la stratégie d’accès au coffre de clés ne peut être utilisée que lors d’une tentative d’accès aux données stockées dans un coffre.

Les coffres de clés Azure Key Vault peuvent être protégés par logiciel ou, avec le niveau Premium, protégés par des modules de sécurité matériels (HSM, Hardware Security Module). Les clés, les secrets et les certificats protégés par logiciel sont gardés par Azure, en utilisant des algorithmes et des longueurs de clé standard. Dans les situations qui nécessitent un surcroît de sécurité, vous pouvez importer ou générer des clés dans des HSM dont les clés ne quittent jamais la limite du HSM. Azure Key Vault utilise les modules HSM 140 des normes FIPS (Federal Information Processing Standard). Vous pouvez utiliser les outils fournis par le fournisseur HSM pour déplacer une clé de votre HSM vers Azure Key Vault.

Enfin, Azure Key Vault est conçu de telle sorte que Microsoft ne peut pas voir ni extraire vos données.

Surveiller les accès et l’utilisation

Après avoir créé deux ou trois Key Vaults, vous voudrez surveiller comment et quand vos clés et secrets sont consultés. Vous pouvez surveiller l’activité en activant la journalisation pour vos coffres. La solution Azure Key Vault est configurable pour l’exécution des opérations suivantes :

  • archivage dans un compte de stockage ;
  • diffusion sur un Event Hub ;
  • envoi des journaux aux journaux Azure Monitor.

Vous pouvez contrôler vos journaux d’activité et les sécuriser en limitant l’accès, ainsi que supprimer les journaux d’activité dont vous n’avez plus besoin.

Administration simplifiée des secrets d’application

Lorsque vous stockez vos données les plus précieuses, vous devez prendre différentes mesures. Les informations de sécurité doivent être sécurisées, suivre un cycle de vie spécifique et se révéler hautement disponibles. Azure Key Vault simplifie la réponse à ces exigences grâce aux éléments suivants :

  • Suppression de la nécessité de connaissances en interne des modules HSM.
  • Exécution d’un scale-up dans un délai très court pour répondre aux pics d’utilisation de votre organisation.
  • Réplication du contenu de votre coffre de clés au sein d’une région et vers une région secondaire. La réplication des données garantit la haute disponibilité et élimine l’obligation pour l’administrateur de déclencher le basculement.
  • Fourniture des options d’administration Azure standard par le biais du Portail, de l’interface de ligne de commande Azure et de PowerShell.
  • Automatisation de certaines tâches sur les certificats que vous achetez auprès d’une autorité de certification publique, comme l’inscription et le renouvellement.

En outre, les coffres de clé Azure vous permettent de séparer les secrets d’application. Les applications peuvent accéder uniquement au coffre dont l’accès leur a été accordé et peuvent être restreintes à certaines opérations spécifiques. Vous pouvez créer un coffre de clés Azure par application et restreindre les secrets stockés dans un coffre de clés à une application et une équipe de développeurs spécifiques.

Intégrer à d’autres services Azure

En tant que banque d’informations sécurisée dans Azure, Key Vault a été utilisé pour simplifier les scénarios, tels que :

La solution Key Vault proprement dite peut s’intégrer aux comptes de stockage, ainsi qu’aux services Event Hubs et Log Analytics.

Étapes suivantes