Megosztás a következőn keresztül:

Több-bérlős és Azure Key Vault

  • Cikk

Az Azure Key Vault segítségével biztonságos adatokat kezelhet a megoldáshoz, beleértve a titkos kulcsokat, a titkosítási kulcsokat és a tanúsítványokat. Ebben a cikkben az Azure Key Vault néhány olyan funkcióját ismertetjük, amelyek hasznosak a több-bérlős megoldásokhoz. Ezután hivatkozásokat adunk a Key Vault használatának megtervezésekor segítséget nyújtó útmutatóra.

Elkülönítési modellek

Ha több-bérlős rendszert használ a Key Vault használatával, döntést kell hoznia a használni kívánt elkülönítési szintről. A használt elkülönítési modellek kiválasztása a következő tényezőktől függ:

  • Hány bérlőt tervez?
  • Több bérlő között osztja meg az alkalmazásszintet, egy-bérlős alkalmazáspéldányokat helyez üzembe, vagy minden bérlőhöz külön üzembehelyezési bélyegeket helyez üzembe?
  • A bérlőknek saját titkosítási kulcsokat kell kezelniük?
  • A bérlői megfelelőségi követelmények megkövetelik a titkos kulcsok tárolását a többi bérlő titkos kulcsától elkülönítve?

Az alábbi táblázat a Key Vault fő bérlői modelljei közötti különbségeket foglalja össze:

Szempont Tároló bérlőnként a szolgáltató előfizetésében Tároló bérlőnként, a bérlő előfizetésében Megosztott tároló
Adatelkülönítés Magas Nagyon magas Alacsony
Teljesítményelkülönítés Közepes. A magas átviteli sebesség korlátozott lehet, még sok tároló esetén is Magas Alacsony
Az üzembe helyezés összetettsége Alacsony közepes, a bérlők számától függően Magas. A bérlőnek helyesen kell hozzáférést adnia a szolgáltatónak Alacsony
Működési összetettség Magas Alacsony a szolgáltatónál, magasabb a bérlőnél Legalacsonyabb
Példaforgatókönyv Bérlőnkénti egyedi alkalmazáspéldányok Ügyfél által felügyelt titkosítási kulcsok Nagyméretű több-bérlős megoldás megosztott alkalmazásszinttel

Tároló bérlőnként a szolgáltató előfizetésében

Érdemes lehet egy tárolót üzembe helyezni minden bérlőhöz a (szolgáltató) Azure-előfizetésében. Ez a megközelítés erős adatelkülönítést biztosít az egyes bérlők adatai között. Ehhez azonban egyre több tárolót kell üzembe helyeznie és kezelnie, miközben növeli a bérlők számát.

Az Azure-előfizetésekben üzembe helyezhető tárolók száma nincs korlátozva. A következő korlátokat azonban érdemes figyelembe vennie:

  • Előfizetés-szintű korlátozások vonatkoznak arra, hogy egy adott időszakon belül hány kérelem adhatja meg a kéréseket. Ezek a korlátozások az előfizetésben lévő tárolók számától függetlenül érvényesek. Ezért fontos, hogy kövesse a szabályozási útmutatást, még akkor is, ha bérlőspecifikus tárolókkal rendelkezik.
  • Az előfizetésen belül létrehozható Azure-szerepkör-hozzárendelések száma korlátozott. Ha nagy számú tárolót helyez üzembe és konfigurál egy előfizetésben, akkor megközelítheti ezeket a korlátokat.

Tároló bérlőnként, a bérlő előfizetésében

Bizonyos esetekben előfordulhat, hogy a bérlők tárolókat hoznak létre a saját Azure-előfizetéseikben, és esetleg hozzáférést szeretnének adni az alkalmazásnak a titkos kódok, tanúsítványok vagy kulcsok használatához. Ez a módszer akkor megfelelő, ha engedélyezi az ügyfél által felügyelt kulcsokat (CMK-k) a megoldáson belüli titkosításhoz.

A bérlő tárolójában lévő adatok eléréséhez a bérlőnek hozzáférést kell biztosítania az alkalmazásnak a tárolóhoz. Ehhez a folyamathoz az alkalmazásnak a Microsoft Entra-példányon keresztül kell hitelesítenie magát. Az egyik módszer egy több-bérlős Microsoft Entra-alkalmazás közzététele. A bérlőknek egyszeri hozzájárulási folyamatot kell végrehajtaniuk. Először regisztrálják a több-bérlős Microsoft Entra alkalmazást a saját Microsoft Entra-bérlőjükben. Ezután biztosítják a több-bérlős Microsoft Entra-alkalmazás számára a tárolóhoz való megfelelő hozzáférést. Emellett meg kell adniuk a létrehozott tároló teljes erőforrás-azonosítóját. Ezután az alkalmazáskód egy olyan szolgáltatásnevet használhat, amely a több-bérlős Microsoft Entra-alkalmazáshoz van társítva a saját Microsoft Entra-azonosítójában, hogy hozzáférjen az egyes bérlői tárolókhoz.

Másik lehetőségként megkérheti minden bérlőt, hogy hozzon létre egy szolgáltatásnevet, amelyet használni szeretne, és adja meg a hitelesítő adatait. Ez a megközelítés azonban megköveteli, hogy biztonságosan tárolja és kezelje az egyes bérlők hitelesítő adatait, ami biztonsági felelősség.

Ha a bérlők hálózati hozzáférési vezérlőket konfigurálnak a tárolóikon, győződjön meg arról, hogy hozzáfér a tárolókhoz. Az alkalmazást úgy tervezheti meg, hogy kezelje azokat a helyzeteket, amikor a bérlő módosítja a hálózati hozzáférési vezérlőit, és megakadályozza, hogy hozzáférjen a tárolókhoz.

Megosztott tárolók

Dönthet úgy, hogy megosztja a bérlők titkos kulcsait egyetlen tárolóban. A tároló az Ön (a megoldásszolgáltató) Azure-előfizetésében van üzembe helyezve, és ön felelős a kezeléséért. Ez a megközelítés a legegyszerűbb, de a legkisebb adatelkülönítést és a teljesítményelkülönítést biztosítja.

Dönthet úgy is, hogy több megosztott tárolót is üzembe helyez. Ha például a Központi telepítési bélyegek mintát követi, valószínű, hogy minden egyes bélyegen egy megosztott tárolót fog üzembe helyezni. Hasonlóképpen, ha többrégiós megoldást helyez üzembe, a tárolókat az alábbi okokból kell üzembe helyeznie az egyes régiókban:

  • A régiók közötti forgalom késésének elkerülése érdekében, amikor a tárolóban lévő adatokkal dolgozik.
  • Az adattárolási követelmények támogatása.
  • A regionális tárolók használatának engedélyezése más szolgáltatásokban, amelyekhez azonos régiós üzembe helyezés szükséges.

Ha megosztott tárolóval dolgozik, fontos figyelembe venni a tárolón végrehajtott műveletek számát. A műveletek közé tartozik a titkos kódok olvasása, valamint a titkosítási vagy visszafejtési műveletek végrehajtása. A Key Vault korlátozza az egy tárolóval, valamint az Azure-előfizetésen belüli összes tárolóval kapcsolatos kérések számát. Ügyeljen arra, hogy kövesse a szabályozásra vonatkozó útmutatást. Fontos, hogy kövesse az ajánlott eljárásokat, beleértve a lekért titkos kulcsok biztonságos gyorsítótárazását, valamint a borítéktitkosítást, hogy ne küldjön minden titkosítási műveletet a Key Vaultnak. Az ajánlott eljárások követésével nagy léptékű megoldásokat futtathat egyetlen tárolón.

Ha bérlőspecifikus titkos kulcsokat, kulcsokat vagy tanúsítványokat kell tárolnia, fontolja meg az elnevezési konvenciók, például az elnevezési előtag használatát. Előfordulhat például, hogy a bérlőazonosítót az egyes titkos kódok nevére szeretné elővenni. Ezután az alkalmazáskód egyszerűen betöltheti egy adott bérlő adott titkos kódjának értékét.

Az Azure Key Vault több-bérlős szolgáltatást támogató funkciói

Címkék

A Key Vault támogatja a titkos kulcsok, tanúsítványok és kulcsok egyéni metaadatokkal való címkézését, így egy címkével nyomon követheti az egyes bérlőspecifikus titkos kulcsok bérlőazonosítóját. A Key Vault azonban nem támogatja a címkék szerinti lekérdezést, ezért ez a funkció leginkább felügyeleti célokra alkalmas, nem pedig az alkalmazáslogikán belüli használatra.

További információ:

Az Azure Policy támogatása

Ha nagy számú tároló üzembe helyezése mellett dönt, fontos, hogy a tárolók egységes szabványt kövessenek a hálózati hozzáférés konfigurálásához, naplózásához és hozzáférés-vezérléséhez. Fontolja meg az Azure Policy használatát annak ellenőrzéséhez, hogy a tárolók a követelményeknek megfelelően lettek-e konfigurálva.

További információ:

Felügyelt HSM és dedikált HSM

Ha másodpercenként nagy számú műveletet kell végrehajtania, és a Key Vault műveleti korlátai nem elegendőek, fontolja meg a felügyelt HSM vagy a dedikált HSM használatát. Mindkét termék fenntartott kapacitást biztosít, de általában költségesebb, mint a Key Vault. Emellett vegye figyelembe az egyes régiókban üzembe helyezhető szolgáltatások példányainak számát.

További információ:

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

Egyéb közreműködők:

A nem nyilvános LinkedIn-profilok megtekintéséhez jelentkezzen be a LinkedInbe.

Következő lépések

Tekintse át a több-bérlős üzembe helyezési és konfigurációs megközelítéseket.