Információk az Azure Key Vaultról

Az Azure Key Vault az Azure számos kulcsfontosságú felügyeleti megoldásának egyike, és a következő problémák megoldásában segít:

  • Titkos kódok kezelése – Az Azure Key Vaulttal biztonságosan tárolhatók a jogkivonatok, jelszavak, tanúsítványok, API-kulcsok és egyéb titkos kulcsok, valamint szigorúan szabályozható az ezekhez való hozzáférés
  • Kulcskezelés – Az Azure Key Vault kulcskezelési megoldásként használható. Az Azure Key Vaulttal egyszerűen létrehozhatja és vezérelheti az adatok titkosításához használt titkosítási kulcsokat.
  • Tanúsítványkezelés – Az Azure Key Vault lehetővé teszi nyilvános és privát Transport Layer Security/Secure Sockets Layer -tanúsítványok (TLS/SSL) kiépítését, kezelését és üzembe helyezését az Azure-ral és a belső csatlakoztatott erőforrásokkal való használatra.

Az Azure Key Vault két szolgáltatási szinttel rendelkezik: Standard, amely szoftverkulccsal és prémium szintű titkosítással rendelkezik, amely hardveres biztonsági modullal (HSM) védett kulcsokat tartalmaz. A Standard és a Prémium szint összehasonlítása az Azure Key Vault díjszabási oldalán található.

Miért érdemes az Azure Key Vaultot használni?

Titkos alkalmazáskulcsok központosítása

A titkos alkalmazáskulcsok tárolásának központosítása az Azure Key Vaultban lehetővé teszi azok elosztásának irányítását. A Key Vault nagymértékben csökkenti a veszélyét annak, hogy a titkos kulcsok véletlenül kiszivárogjanak. A Key Vault használatával az alkalmazásfejlesztőknek többé nem kell az alkalmazásban tárolniuk a biztonsági információkat. Ha nem kell biztonsági adatokat tárolnia az alkalmazásokban, azzal szükségtelenné teszi, hogy ezeket az információkat a kód részévé tegye. Tegyük fel például, hogy egy alkalmazásnak egy adatbázishoz kell csatlakoznia. Ahelyett, hogy az alkalmazás kódjában tárolhatja a kapcsolati sztring, biztonságosan tárolhatja azt Key Vault.

Az alkalmazások URI-k használatával biztonságosan hozzáférhetnek a szükséges információkhoz. Ezek az URI-k lehetővé teszik, hogy az alkalmazások lekérjenek egy titkos kód adott verzióit. A Key Vault tárolt titkos adatok védelméhez nincs szükség egyéni kód írására.

A titkos kulcsok és a kulcsok biztonságos tárolása

A kulcstartóhoz való hozzáférés előtt a hívónak (felhasználónak vagy alkalmazásnak) megfelelő hitelesítésre és engedélyezésre van szüksége. A hitelesítés a hívó azonosítását szolgálja, az engedélyezés pedig meghatározza, milyen műveletek elvégzésére jogosult.

A hitelesítés az Azure Active Directory használatával történik. Az engedélyezés történhet azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) vagy Key Vault hozzáférési szabályzattal. Az Azure RBAC használható a tárolók kezelésére és a tárolóban tárolt adatok elérésére, míg a Key Vault hozzáférési szabályzata csak a tárolóban tárolt adatok elérésének megkísérlésekor használható.

Az Azure Key Vaultok szoftveres védelemmel, vagy az Azure Key Vault Premium szinttel hardveres biztonsági modulokkal (HSM-ekkel) védhetők. A szoftveres védelem alatt álló kulcsokat, titkos kulcsokat és tanúsítványokat az Azure az iparági szabványnak megfelelő algoritmusok és kulcshosszok használatával védi. Olyan helyzetekben, ahol további garanciára van szükség, olyan kulcsokat importálhat vagy hozhat létre a HSM-ben, amelyek soha nem hagyják el a HSM határát. Az Azure Key Vault nCipher HSM-eket használ, amelyek a Federal Information Processing Standards (FIPS) 140-2 Level 2 ellenőrzött szabványai. Az nCipher-eszközökkel áthelyezhet egy kulcsot a HSM-ből az Azure Key Vault.

Végül pedig az Azure Key Vault kialakításából adódóan a Microsoft nem tekintheti meg és nem fejtheti vissza az adatokat.

A hozzáférés és használat monitorozása

Miután létrehozott néhány kulcstartót, monitorozhatja, hogyan és mikor férnek hozzá a kulcsokhoz és a titkos kulcsokhoz. A tevékenységeket a tárolók naplózásának engedélyezésével figyelheti. Az Azure Key Vaultot beállíthatja az alábbiak elvégzésére:

  • Archiválás tárfiókba
  • Streamelés eseményközpontba
  • Küldje el a naplókat az Azure Monitor naplóinak.

Engedélyekkel rendelkezik a naplók felett, és meg is védheti őket a hozzáférés korlátozásával, illetve törölheti azokat a naplókat, amelyekre már nincs szüksége.

A titkos alkalmazáskulcsok egyszerűsített adminisztrációja

Értékes adatok tárolásakor el kell végeznie néhány lépést. A biztonsági információkat védeni kell, életciklust kell követnie, és magas rendelkezésre állásúnak kell lennie. Az Azure Key Vault a következőkkel egyszerűsíti le a követelmények teljesítésének folyamatát:

  • Nincs szükség a hardveres biztonsági modulok belső ismeretére.
  • Rövid időn belül vertikálisan felskálázhat, hogy megfeleljen a szervezet használati csúcsainak.
  • A kulcstartója tartalmát egy régión belül és egy másodlagos régióba replikálja. Az adatreplikálás biztosítja a magas rendelkezésre állást, és szükségtelennek veszi a rendszergazda által a feladatátvétel indításához szükséges műveleteket.
  • Standard Azure felügyeleti lehetőségeket biztosít a Portal, az Azure CLI és a PowerShell segítségével.
  • Automatizálja a nyilvános hitelesítésszolgáltatóktól vásárolt tanúsítványokon elvégzett egyes műveleteket, például a regisztrálást és a megújítást.

Továbbá az Azure Key Vault-kulcstartók lehetővé teszik a titkos alkalmazáskulcsok elkülönítését. Az alkalmazások csak azokhoz a tárolókhoz férhetnek hozzá, amelyekhez hozzáférésük van, és csak bizonyos műveletek végrehajtására korlátozhatók. Alkalmazásonként egy Azure Key Vault-kulcstárolót hozhat létre, és a benne tárolt titkos kulcsok használatát csak egy adott alkalmazásra és fejlesztői csapatra korlátozhatja.

Integráció más Azure-szolgáltatásokkal

Az Azure-ban biztonságos tárolóként Key Vault olyan forgatókönyvek egyszerűsítésére használták, mint például:

A Key Vault integrálható tárfiókokkal, eseményközpontokkal és a naplóelemzéssel.

Következő lépések