Az Azure Key Vault alapfogalmai
Az Azure Key Vault egy felhőalapú szolgáltatás a titkos kódok biztonságos tárolására és elérésére. A titkos kód minden olyan dolog, amelyhez szigorúan szabályozni szeretné a hozzáférést, például API-kulcsokat, jelszavakat, tanúsítványokat vagy titkosítási kulcsokat. A Key Vault szolgáltatás két tárolótípust támogat: tárolókat és felügyelt hardveres biztonsági modulokat (HSM-készleteket). A tárolók támogatják a szoftver- és HSM-alapú kulcsok, titkos kódok és tanúsítványok tárolását. A felügyelt HSM-készletek csak a HSM által támogatott kulcsokat támogatják. A részletekért tekintse meg az Azure Key Vault REST API áttekintését .
Az alábbiakban további fontos kifejezéseket talál:
Bérlő: A bérlő az a cég vagy intézmény, amely egy Microsoft-felhőszolgáltatás egy adott példányát birtokolja és kezeli. Leggyakrabban egy szervezet Azure- és Microsoft 365-szolgáltatásaira hivatkoznak.
Kulcstartó-tulajdonos: Létrehozhat egy Key Vaultot, amely felett teljes körű hozzáféréssel és irányítással rendelkezik. Emellett naplózást is beállíthat, amellyel naplózhatja a titkos kulcsok és a kulcsok elérését. A kulcsok életciklusát a rendszergazdák kezelhetik. Kiadhatnak új kulcsverziókat, biztonsági másolatokat készíthetnek, és elvégezhetik a kapcsolódó feladatokat.
Kulcstartóhasználó: A kulcstartóhasználó műveleteket hajthat végre a Key Vaultban található objektumokon, ha a kulcstartó-tulajdonos felruházta hozzáféréssel. Az elérhető műveletek a kiosztott jogosultságoktól függnek.
Felügyelt HSM-Rendszergazda istratorok: A Rendszergazda istrator szerepkörrel rendelkező felhasználók teljes mértékben szabályozhatják a felügyelt HSM-készletet. További szerepkör-hozzárendeléseket hozhatnak létre, hogy szabályozott hozzáférést delegáljanak más felhasználókhoz.
Felügyelt HSM-titkosítási tisztviselő/felhasználó: Olyan beépített szerepkörök, amelyek általában olyan felhasználókhoz vagy szolgáltatásnevekhez vannak hozzárendelve, amelyek titkosítási műveleteket végeznek a felügyelt HSM kulcsainak használatával. A kriptográfiai felhasználó létrehozhat új kulcsokat, de nem törölheti a kulcsokat.
Felügyelt HSM titkosítási szolgáltatástitkosítási felhasználó: Beépített szerepkör, amely általában szolgáltatásfiókok felügyelt szolgáltatásadentitásához (például Storage-fiókhoz) van rendelve az inaktív adatok ügyfél által felügyelt kulccsal történő titkosításához.
Erőforrás: Az erőforrás egy olyan kezelhető elem, amely az Azure-on keresztül érhető el. Ilyenek például a virtuális gép, a tárfiók, a webalkalmazás, az adatbázis és a virtuális hálózat. Sok más is van.
Erőforráscsoport: Az erőforráscsoport egy tároló, amely Azure-megoldásokhoz kapcsolódó erőforrásokat tárol. Az erőforráscsoport tartalmazhatja a megoldás összes erőforrását, vagy csak azokat az erőforrásokat, amelyeket Ön egy csoportként szeretne kezelni. A cég számára legideálisabb elosztás alapján eldöntheti, hogyan szeretné elosztani az erőforrásokat az erőforráscsoportok között.
Biztonsági egyszerű: Az Azure-beli biztonsági tagok olyan biztonsági identitások, amelyeket a felhasználó által létrehozott alkalmazások, szolgáltatások és automatizálási eszközök használnak adott Azure-erőforrások eléréséhez. Tekintsük "felhasználói identitásnak" (felhasználónév és jelszó vagy tanúsítvány) egy adott szerepkörrel és szigorúan ellenőrzött engedélyekkel. A biztonsági tagoknak csak meghatározott műveleteket kell végrehajtaniuk, az általános felhasználói identitástól eltérően. Javítja a biztonságot, ha csak a felügyeleti feladatok elvégzéséhez szükséges minimális engedélyszintet adja meg. Az alkalmazáshoz vagy szolgáltatáshoz használt biztonsági tagot egyszerű szolgáltatásnévnek nevezzük.
Microsoft Entra ID: A Microsoft Entra ID egy bérlő Active Directory szolgáltatása. Minden címtárhoz tartozik egy vagy több tartomány. Egy címtárhoz számos előfizetés tartozhat, de csak egyetlen bérlő.
Azure-bérlőazonosító: A bérlőazonosító egyedi módszer egy Microsoft Entra-példány azonosítására egy Azure-előfizetésen belül.
Felügyelt identitások: Az Azure Key Vault lehetővé teszi a hitelesítő adatok és más kulcsok és titkos kódok biztonságos tárolását, de a kódnak hitelesítenie kell őket a Key Vaultban. A felügyelt identitások használata egyszerűbbé teszi a probléma megoldását azáltal, hogy automatikusan felügyelt identitást ad az Azure-szolgáltatásoknak a Microsoft Entra ID-ban. Ezzel az identitással hitelesítést végezhet a Key Vaultban vagy bármely olyan szolgáltatásban, amely támogatja a Microsoft Entra-hitelesítést anélkül, hogy hitelesítő adatokkal rendelkezik a kódban. További információkért tekintse meg az alábbi képet és az Azure-erőforrások felügyelt identitásainak áttekintését.
Hitelesítés
A Key Vaulttal végzett műveletek elvégzéséhez először hitelesítenie kell azt. A Key Vaultban három módon lehet hitelesíteni:
- Felügyelt identitások az Azure-erőforrásokhoz: Amikor egy alkalmazást üzembe helyez egy Azure-beli virtuális gépen, hozzárendelhet egy identitást a key vaulthoz hozzáféréssel rendelkező virtuális géphez. Identitásokat más Azure-erőforrásokhoz is hozzárendelhet. Ennek a megközelítésnek az az előnye, hogy az alkalmazás vagy szolgáltatás nem kezeli az első titkos kód rotálását. Az Azure automatikusan elforgatja az identitást. Ajánlott eljárásként ezt a megközelítést javasoljuk.
- Szolgáltatásnév és tanúsítvány: Használhat egy szolgáltatásnevet és egy társított tanúsítványt, amely hozzáféréssel rendelkezik a Key Vaulthoz. Ezt a módszert nem javasoljuk, mert az alkalmazás tulajdonosának vagy fejlesztőjének el kell forgatnia a tanúsítványt.
- Szolgáltatásnév és titkos kód: Bár szolgáltatásnév és titkos kód használatával hitelesíthető a Key Vaultban, nem javasoljuk. Nehéz automatikusan elforgatni a Key Vaultban való hitelesítéshez használt bootstrap-titkos kulcsot.
Az átvitel alatt álló adatok titkosítása
Az Azure Key Vault a Transport Layer Security (TLS) protokollt kényszeríti ki az adatok védelmére az Azure Key Vault és az ügyfelek közötti utazás során. Az ügyfelek TLS-kapcsolatot egyeztetnek az Azure Key Vaulttal. A TLS erős hitelesítést, üzenetvédelmet és integritást biztosít (lehetővé teszi az üzenetek illetéktelen behatolásának, elfogásának és hamisításának észlelését), az együttműködési képességet, az algoritmus rugalmasságát, valamint az üzembe helyezés és a használat egyszerűségét.
A Perfect Forward Secrecy (PFS) egyedi kulcsokkal védi az ügyfelek ügyfélrendszerei és a Microsoft felhőszolgáltatásai közötti kapcsolatokat. Csatlakozás az RSA-alapú 2048 bites titkosítási kulcshosszokat is használják. Ez a kombináció megnehezíti az átvitt adatok elfogását és elérését.
Key Vault-szerepkörök
Az alábbi táblázat segítségével jobban megértheti, hogyan segíti a Key Vault a fejlesztők és a biztonsági rendszergazdák igényeinek kielégítését.
| Szerepkör | Probléma leírása | Az Azure Key Vault megoldása |
|---|---|---|
| Azure-alkalmazásfejlesztő | "Szeretnék írni egy alkalmazást az Azure-hoz, amely kulcsokat használ az aláíráshoz és a titkosításhoz. Azt szeretném azonban, hogy ezek a kulcsok külsőek legyenek az alkalmazásomtól, hogy a megoldás megfelelő legyen egy földrajzilag elosztott alkalmazáshoz. Azt szeretném, hogy ezek a kulcsok és titkos kulcsok el legyenek látva védelemmel, anélkül, hogy meg kellene írnom a kódot. Azt is szeretném, hogy ezek a kulcsok és titkos kulcsok könnyen használhatóak legyenek az alkalmazásaimból, optimális teljesítménnyel." |
√ A kulcsok tárolása tárolóban történik, és szükség esetén egy URI segítségével lehet előhívni őket. √ A kulcsok számára az Azure biztosít védelmet az ipari szabványoknak megfelelő algoritmusok, kulcshosszok és hardveres biztonsági modulok segítségével. √ A kulcsok feldolgozása hardveres biztonsági modulokban történik, amelyek ugyanazokban az Azure-adatközpontokban találhatók, mint az alkalmazások. Ez a módszer nagyobb megbízhatóságot és kisebb késést eredményez ahhoz képest, mintha a kulcsok egy külön helyen, például a helyszínen lennének. |
| Szolgáltatott szoftverek fejlesztője (SaaS-fejlesztő) | "Nem akarom az ügyfeleim bérlői kulcsainak és titkos kulcsainak felelősségét vagy esetleges felelősségét. Azt akarom, hogy az ügyfelek birtokolják és kezeljék a kulcsaikat, hogy arra koncentrálhassak, amit a legjobban csinálok, ami az alapvető szoftverfunkciókat biztosítja." |
√ Az ügyfelek importálhatják a saját kulcsaikat az Azure rendszerbe, és kezelhetik őket. Ha egy SaaS-alkalmazásnak titkosítási műveleteket kell végrehajtania az ügyfelek kulcsainak használatával, a Key Vault ezeket a műveleteket az alkalmazás nevében hajtja végre. Az alkalmazás nem látja az ügyfelek kulcsait. |
| Biztonsági vezető (CSO) | "Szeretném tudni, hogy alkalmazásaink megfelelnek a FIPS 140 3. szintű HSM-eknek a biztonságos kulcskezelés érdekében. Biztos szeretnék lenni abban is, hogy a cégünk kézben tartja a kulcsok életciklusát, valamint meg tudja figyelni a kulcshasználatot. És bár több Azure-szolgáltatást és erőforrást használunk, a kulcsokat egyetlen helyről szeretném kezelni az Azure-ban." |
√ Tárolók vagy felügyelt HSM-ekkiválasztása FIPS 140 által ellenőrzött HSM-ekhez. √ Felügyelt HSM-készletek kiválasztása a FIPS 140–2 3. szintű ellenőrzött HSM-ekhez. √ A Key Vault kialakításának köszönhetően a Microsoft nem tekintheti meg, illetve nem nyerheti ki a kulcsokat. √ A kulcshasználatot közel valós időben naplózza rendszer. √ A tároló egyetlen felületet biztosít függetlenül attól, hogy Ön hány tárolóval rendelkezik az Azure rendszerben, ezek mely régiókat támogatják, illetve mely alkalmazások használják őket. |
Azure-előfizetés birtokában bárki létrehozhat és használhat kulcstárolót. Bár a Key Vault a fejlesztők és a biztonsági rendszergazdák számára előnyös, implementálhatja és felügyelheti a szervezet más Azure-szolgáltatásokat kezelő rendszergazdája. Ez a rendszergazda például bejelentkezhet egy Azure-előfizetéssel, létrehozhat egy tárolót annak a szervezetnek, amelyben kulcsokat tárolhat, majd az alábbihoz hasonló üzemeltetési feladatokért felel:
- A kulcsok vagy titkos kulcsok létrehozása és importálása
- A kulcsok vagy titkos kulcsok visszavonása, illetve törlése
- A felhasználók vagy alkalmazások feljogosítása a kulcstárolóhoz való hozzáférésre, hogy azután kezelhessék és használhassák a benne tárolt kulcsokat és titkos kulcsokat
- A kulcshasználat konfigurálása (például aláíráshoz vagy titkosításhoz)
- A kulcshasználat figyelése
Ez a rendszergazda ezután URI-kat ad a fejlesztőknek az alkalmazásaikból való híváshoz. Ez a rendszergazda a kulcshasználat naplózási adatait is megadja a biztonsági rendszergazdának.
A fejlesztők közvetlenül is kezelhetik a kulcsokat API-k használatával. További információkért tekintse meg a Key Vault fejlesztői útmutatóját.
Következő lépések
- További információ az Azure Key Vault biztonsági funkcióiról.
- A felügyelt HSM-készletek biztonságossá tételének ismertetése
Az Azure Key Vault a legtöbb régióban elérhető. További információ: A Key Vault díjszabása.