Tentang Azure Key Vault
Azure Key Vault adalah salah satu dari beberapa solusi manajemen utama di Azure, dan membantu menyelesaikan masalah berikut:
- Manajemen Rahasia - Azure Key Vault dapat digunakan untuk menyimpan dan mengontrol akses ke token, kata sandi, sertifikat, kunci API, dan rahasia lainnya dengan aman
- Manajemen Kunci - Azure Key Vault juga dapat digunakan sebagai solusi Manajemen Kunci. Azure Key Vault memberi kemudahan dalam membuat dan mengontrol kunci enkripsi untuk mengenkripsi data Anda.
- Manajemen Sertifikat - Azure Key Vault memungkinkan Anda dengan mudah memprovisikan, mengelola, dan menyebarkan sertifikat Transport Layer Security/Secure Sockets Layer (TLS/SSL) publik dan privat untuk digunakan dengan Azure dan sumber daya internal yang terhubung.
Azure Key Vault memiliki dua tingkat layanan: Standar, yang mengenkripsi dengan kunci perangkat lunak, dan tingkat Premium, yang mencakup kunci yang dilindungi modul keamanan perangkat keras (HSM). Untuk melihat perbandingan antara tingkat Standar dan Premium, lihat halaman harga Azure Key Vault.
Catatan
Zero Trust adalah strategi keamanan yang terdiri dari tiga prinsip: "Verifikasi secara eksplisit", "Gunakan akses hak istimewa paling sedikit", dan "Asumsikan pelanggaran". Perlindungan data, termasuk manajemen kunci, mendukung prinsip "gunakan akses hak istimewa paling sedikit". Untuk informasi selengkapnya, lihat Apa itu Zero Trust?
Mengapa menggunakan Azure Key Vault?
Memusatkan rahasia aplikasi
Memusatkan penyimpanan rahasia aplikasi di Azure Key Vault memungkinkan Anda mengontrol distribusinya. Key Vault sangat mengurangi kemungkinan rahasia bocor secara tidak sengaja. Ketika pengembang aplikasi menggunakan Key Vault, mereka tidak perlu lagi menyimpan informasi keamanan di aplikasi mereka. Tidak harus menyimpan informasi keamanan dalam aplikasi, menghilangkan kebutuhan untuk menjadikan informasi ini bagian dari kode. Contohnya, aplikasi mungkin perlu terhubung ke database. Alih-alih menyimpan string koneksi dalam kode aplikasi, Anda dapat menyimpannya dengan aman di Key Vault.
Aplikasi Anda dapat mengakses informasi yang dibutuhkan dengan aman menggunakan URI. URI ini memungkinkan aplikasi untuk mengambil versi rahasia tertentu. Tidak perlu menulis kode kustom untuk melindungi informasi rahasia yang disimpan di Key Vault.
Menyimpan rahasia dan kunci dengan aman
Akses ke key vault memerlukan autentikasi dan otorisasi yang tepat sebelum pemanggil (pengguna atau aplikasi) mendapatkan akses. Autentikasi menetapkan identitas pemanggil, sementara otorisasi menentukan operasi yang diizinkan untuk mereka lakukan.
Autentikasi dilakukan melalui ID Microsoft Entra. Otorisasi dapat dilakukan melalui kontrol akses berbasis peran Azure (Azure RBAC) atau kebijakan akses Key Vault. Azure RBAC dapat digunakan untuk manajemen brankas dan untuk mengakses data yang disimpan dalam brankas, sementara kebijakan akses brankas kunci hanya dapat digunakan saat mencoba mengakses data yang disimpan di brankas.
Brankas kunci Azure dienkripsi saat tidak aktif dengan kunci yang disimpan dalam modul keamanan perangkat keras (HSM). Azure melindungi kunci, rahasia, dan sertifikat menggunakan algoritma standar industri, panjang kunci, dan modul kriptografi perangkat lunak. Untuk jaminan tambahan, Anda dapat menghasilkan atau mengimpor kunci dalam HSM (jenis RSA-HSM, EC-HSM, atau OCT-HSM) yang tidak pernah meninggalkan batas HSM. Azure Key Vault menggunakan modul kriptografi perangkat lunak tervalidasi Standar Pemrosesan Informasi Federal 140 dan HSM.
Terakhir, Azure Key Vault dirancang agar Microsoft tidak melihat atau mengekstrak data Anda.
Memantau akses dan penggunaan
Setelah membuat beberapa Key Vault, Anda harus memantau bagaimana dan kapan kunci dan rahasia Anda diakses. Anda dapat memantau aktivitas dengan mengaktifkan pengelogan untuk vault Anda. Anda dapat mengonfigurasi Azure Key Vault untuk:
- Arsipkan ke akun penyimpanan.
- Melakukan streaming ke pusat aktivitas.
- Mengirim log ke log Azure Monitor.
Anda memiliki kontrol atas log Anda dan Anda dapat mengamankannya dengan membatasi akses. Anda juga dapat menghapus log yang tidak lagi Anda butuhkan.
Administrasi rahasia aplikasi yang disederhanakan
Anda harus melakukan beberapa langkah saat menyimpan data berharga. Informasi keamanan harus diamankan, mengikuti siklus hidup, dan harus tersedia. Azure Key Vault menyederhanakan proses pemenuhan persyaratan ini dengan:
- Menghapus kebutuhan terhadap pengetahuan internal tentang Modul Keamanan Perangkat Keras.
- Meningkatkan skala dalam waktu singkat untuk memenuhi lonjakan penggunaan di organisasi Anda.
- Membuat replika konten Key Vault Anda di dalam wilayah dan ke wilayah sekunder. Replikasi data memastikan ketersediaan yang tinggi dan mengurangi kebutuhan tindakan dari administrator yang memicu kegagalan.
- Menyediakan opsi administrasi Azure standar melalui portal, Azure CLI, dan PowerShell.
- Mengotomatiskan tugas tertentu pada sertifikat yang Anda beli dari CA Publik, seperti pendaftaran dan perpanjangan.
Selain itu, Azure Key Vaults memungkinkan Anda untuk memisahkan rahasia aplikasi. Aplikasi hanya dapat mengakses vault yang diizinkan untuk diakses, dan hanya dapat dibatasi untuk melakukan operasi tertentu. Anda dapat membuat Azure Key Vault per aplikasi dan membatasi rahasia yang disimpan di Key Vault aplikasi dan tim pengembang tertentu.
Mengintegrasikan dengan layanan Azure lainnya
Sebagai penyimpanan yang aman di Azure, Key Vault telah digunakan untuk menyederhanakan skenario seperti:
- Azure Disk Encryption
- Fungsionalitas Data yang selalu dienkripsi dan Enkripsi Data Transparan di server SQL dan Database Azure SQL
- Layanan Azure App.
Key Vault sendiri dapat diintegrasikan dengan akun penyimpanan, pusat aktivitas, dan analitik log.