À propos d’Azure Key Vault
Azure Key Vault est l’une des nombreuses solutions de gestion des clés dans Azure, et aide à résoudre les problèmes suivants :
- Gestion des secrets : Azure Key Vault peut être utilisé pour stocker en toute sécurité les jetons, mots de passe, certificats, clés API et autres secrets, et pour en contrôler étroitement l’accès.
- Gestion des clés : Azure Key Vault peut servir de solution de gestion de clés. Azure Key Vault simplifie la création et le contrôle des clés de chiffrement utilisées pour chiffrer vos données.
- Gestion des certificats : Azure Key Vault vous permet de provisionner, gérer et déployer facilement des certificats SSL/TLS publics et privés pour une utilisation avec Azure et vos ressources connectées internes.
Azure Key Vault a deux niveaux de service : Standard, qui chiffre avec une clé logicielle, et Premium, qui inclut des clés protégées par HSM (module de sécurité matériel). Pour obtenir une comparaison entre les niveaux Standard et Premium, consultez la page de tarification d’Azure Key Vault.
Notes
Confiance Zéro est une stratégie de sécurité comprenant trois principes : « Vérifiez explicitement », « Utilisez l’accès à privilèges minimum » et « Supposez une violation ». La protection des données, y compris la gestion des clés, prend en charge le principe « Utilisez l’accès à privilèges minimum ». Pour plus d’informations, consultez Qu’est-ce qu’une Confiance Zéro ?
Pourquoi utiliser Azure Key Vault ?
Centraliser les secrets d’application
La centralisation du stockage des secrets d’application dans Azure Key Vault vous permet de contrôler la distribution de ces secrets. Key Vault réduit considérablement les risques de fuite accidentelle des secrets. Lorsque les développeurs d’applications utilisent Key Vault, ils n’ont plus besoin de stocker des informations de sécurité dans leur application. Ne pas avoir à stocker les informations de sécurité dans les applications élimine le besoin d’intégrer ces informations au code. Considérons l’exemple d’une application ayant besoin de se connecter à une base de données. Dans ce cas, plutôt que d’inclure la chaîne de connexion dans le code de l’application, vous pouvez simplement la stocker en toute sécurité dans Key Vault.
Vos applications peuvent accéder en toute sécurité aux informations nécessaires en utilisant des URI. Ces URI permettent aux applications de récupérer des versions spécifiques d’un secret. Aucune écriture de code personnalisé n’est nécessaire pour protéger les informations secrètes stockées dans Key Vault.
Stocker en toute sécurité les secrets et clés
L’accès à un coffre de clés par un appelant (utilisateur ou application) requiert une authentification et une autorisation adéquates. L’authentification établit l’identité de l’appelant, tandis que l’autorisation détermine les opérations que ce dernier est autorisé à effectuer.
L’authentification est effectuée via Microsoft Entra ID. L’autorisation peut être assurée par l’intermédiaire du mécanisme de contrôle d’accès en fonction du rôle Azure (Azure RBAC) ou d’une stratégie d’accès à Key Vault. Vous pouvez utiliser Azure RBAC pour la gestion des coffres ainsi que pour accéder aux données stockées dans un coffre, alors que la stratégie d’accès au coffre de clés ne peut être utilisée que lors d’une tentative d’accès aux données stockées dans un coffre.
Les coffres de clés Azure sont chiffrés au repos avec une clé stockée dans des modules de sécurité matériels (HSM). Azure protège les clés, secrets et certificats à l'aide d'algorithmes, de longueurs de clés et de modules cryptographiques logiciels conformes aux normes de l'industrie. Pour une sécurité accrue, vous pouvez générer ou importer des clés dans des HSM (de type RSA-HSM, EC-HSM ou OCT-HSM) qui ne quittent jamais la zone de sécurité du HSM. Azure Key Vault utilise des modules cryptographiques logiciels et HSM validés selon la norme Federal Information Processing Standard 140.
Enfin, Azure Key Vault est conçu de telle sorte que Microsoft ne peut pas voir ni extraire vos données.
Surveiller les accès et l’utilisation
Après avoir créé deux ou trois Key Vaults, vous voudrez surveiller comment et quand vos clés et secrets sont consultés. Vous pouvez surveiller l’activité en activant la journalisation pour vos coffres. La solution Azure Key Vault est configurable pour l’exécution des opérations suivantes :
- archivage dans un compte de stockage ;
- diffusion sur un Event Hub ;
- envoi des journaux aux journaux Azure Monitor.
Vous pouvez contrôler vos journaux d’activité et les sécuriser en limitant l’accès, ainsi que supprimer les journaux d’activité dont vous n’avez plus besoin.
Administration simplifiée des secrets d’application
Lorsque vous stockez vos données les plus précieuses, vous devez prendre différentes mesures. Les informations de sécurité doivent être sécurisées, suivre un cycle de vie spécifique et se révéler hautement disponibles. Azure Key Vault simplifie la réponse à ces exigences grâce aux éléments suivants :
- Suppression de la nécessité de connaissances en interne des modules HSM.
- Exécution d’un scale-up dans un délai très court pour répondre aux pics d’utilisation de votre organisation.
- Réplication du contenu de votre coffre de clés au sein d’une région et vers une région secondaire. La réplication des données garantit la haute disponibilité et élimine l’obligation pour l’administrateur de déclencher le basculement.
- Fourniture des options d’administration Azure standard par le biais du Portail, de l’interface de ligne de commande Azure et de PowerShell.
- Automatisation de certaines tâches sur les certificats que vous achetez auprès d’une autorité de certification publique, comme l’inscription et le renouvellement.
En outre, les coffres de clé Azure vous permettent de séparer les secrets d’application. Les applications peuvent accéder uniquement au coffre dont l’accès leur a été accordé et peuvent être restreintes à certaines opérations spécifiques. Vous pouvez créer un coffre de clés Azure par application et restreindre les secrets stockés dans un coffre de clés à une application et une équipe de développeurs spécifiques.
Intégrer à d’autres services Azure
En tant que banque d’informations sécurisée dans Azure, Key Vault a été utilisé pour simplifier les scénarios, tels que :
- Azure Disk Encryption
- Les fonctionnalités Always encrypted et Transparent Data Encryption dans SQL Server et Azure SQL Database
- Azure App Service.
La solution Key Vault proprement dite peut s’intégrer aux comptes de stockage, ainsi qu’aux services Event Hubs et Log Analytics.