Multipenyewa dan Azure Key Vault
Azure Key Vault digunakan untuk mengelola data aman untuk solusi Anda, termasuk rahasia, kunci enkripsi, dan sertifikat. Dalam artikel ini, kami menjelaskan beberapa fitur Azure Key Vault yang berguna untuk solusi multipenyewa. Kami kemudian menyediakan tautan ke panduan yang dapat membantu Anda, saat Anda merencanakan bagaimana Anda akan menggunakan Key Vault.
Model isolasi
Saat bekerja dengan sistem multipenyewa menggunakan Key Vault, Anda perlu membuat keputusan tentang tingkat isolasi yang ingin Anda gunakan. Pilihan model isolasi yang Anda gunakan tergantung pada faktor-faktor berikut:
- Berapa banyak penyewa yang Anda rencanakan?
- Apakah Anda berbagi tingkat aplikasi antara beberapa penyewa, apakah Anda menyebarkan instans aplikasi penyewa tunggal, atau apakah Anda menyebarkan stempel penyebaran terpisah untuk setiap penyewa?
- Apakah penyewa Anda perlu mengelola kunci enkripsi mereka sendiri?
- Apakah penyewa Anda memiliki persyaratan kepatuhan yang mengharuskan rahasia mereka disimpan secara terpisah dari rahasia penyewa lain?
Tabel berikut ini meringkas perbedaan antara model penyewaan utama untuk Key Vault:
| Pertimbangan | Vault per penyewa, dalam langganan penyedia | Vault per penyewa, dalam langganan penyewa | Vault bersama |
|---|---|---|---|
| Isolasi data | Sangat Penting | Sangat tinggi | Kurang Penting |
| Isolasi performa | Medium. Throughput tinggi mungkin terbatas, bahkan dengan banyak vault | Sangat Penting | Kurang Penting |
| Kompleksitas penyebaran | Sedang rendah, tergantung pada jumlah penyewa | Tinggi. Penyewa harus memberikan akses dengan benar ke penyedia | Kurang Penting |
| Kompleksitas operasional | Sangat Penting | Rendah untuk penyedia, lebih tinggi untuk penyewa | Terendah |
| Contoh skenario | Instans aplikasi individual per penyewa | Kunci enkripsi yang dikelola pelanggan | Solusi multipenyewa besar dengan tingkat aplikasi bersama |
Vault per penyewa, dalam langganan penyedia
Anda mungkin mempertimbangkan untuk menyebarkan vault untuk setiap penyewa Anda dalam langganan Azure (penyedia layanan). Pendekatan ini memberi Anda isolasi data yang kuat antara data setiap penyewa. Namun, ini mengharuskan Anda menyebarkan dan mengelola peningkatan jumlah vault, saat Anda meningkatkan jumlah penyewa.
Tidak ada batasan jumlah vault yang dapat Anda sebarkan ke dalam langganan Azure. Namun, Anda harus mempertimbangkan batas berikut:
- Ada batasan seluruh langganan pada jumlah permintaan yang dapat Anda buat dalam jangka waktu tertentu. Batas ini berlaku terlepas dari jumlah vault dalam langganan. Jadi, penting untuk mengikuti panduan pembatasan kami, bahkan ketika Anda memiliki vault khusus penyewa.
- Ada batasan jumlah penetapan peran Azure yang dapat Anda buat dalam langganan. Saat Anda menyebarkan dan mengonfigurasi sejumlah besar vault dalam langganan, Anda mungkin mendekati batas ini.
Vault per penyewa, dalam langganan penyewa
Dalam beberapa situasi, penyewa Anda mungkin membuat brankas di langganan Azure mereka sendiri, dan mereka mungkin ingin memberikan akses aplikasi Anda untuk bekerja dengan rahasia, sertifikat, atau kunci. Pendekatan ini sesuai ketika Anda mengizinkan kunci yang dikelola pelanggan (CMK) untuk enkripsi dalam solusi Anda.
Untuk mengakses data di vault penyewa Anda, penyewa harus memberi aplikasi Anda akses ke vault mereka. Proses ini mengharuskan aplikasi Anda mengautentikasi melalui instans Microsoft Entra mereka. Salah satu pendekatannya adalah menerbitkan aplikasi Microsoft Entra multipenyewa. Penyewa Anda harus melakukan proses persetujuan satu kali. Mereka terlebih dahulu mendaftarkan aplikasi Microsoft Entra multipenyewa di penyewa Microsoft Entra mereka sendiri. Kemudian, mereka memberi aplikasi Microsoft Entra multipenyewa Anda tingkat akses yang sesuai ke vault mereka. Mereka juga perlu memberi Anda ID sumber daya lengkap dari vault yang telah mereka buat. Kemudian, kode aplikasi Anda dapat menggunakan perwakilan layanan yang terkait dengan aplikasi Microsoft Entra multipenyewa di ID Microsoft Entra Anda sendiri, untuk mengakses vault setiap penyewa.
Atau, Anda mungkin meminta setiap penyewa untuk membuat perwakilan layanan untuk digunakan layanan Anda, dan untuk memberi Anda kredensialnya. Namun, pendekatan ini mengharuskan Anda menyimpan dan mengelola kredensial dengan aman untuk setiap penyewa, yang merupakan tanggung jawab keamanan.
Jika penyewa Anda mengonfigurasi kontrol akses jaringan di vault mereka, pastikan Anda dapat mengakses vault. Desain aplikasi Anda untuk menangani situasi di mana penyewa mengubah kontrol akses jaringan mereka dan mencegah Anda mengakses vault mereka.
Vault bersama
Anda dapat memilih untuk berbagi rahasia penyewa dalam satu vault. Vault disebarkan dalam langganan Azure Anda (penyedia solusi), dan Anda bertanggung jawab untuk mengelolanya. Pendekatan ini paling sederhana, tetapi menyediakan isolasi data paling sedikit dan isolasi performa.
Anda juga dapat memilih untuk menyebarkan beberapa vault bersama. Misalnya, jika Anda mengikuti pola Stempel Penyebaran, kemungkinan Anda akan menyebarkan vault bersama dalam setiap stempel. Demikian pula, jika Anda menyebarkan solusi multi-wilayah, Anda harus menyebarkan vault ke setiap wilayah karena alasan berikut:
- Untuk menghindari latensi lalu lintas lintas wilayah saat bekerja dengan data di vault Anda.
- Untuk mendukung persyaratan residensi data.
- Untuk mengaktifkan penggunaan vault regional dalam layanan lain yang memerlukan penyebaran wilayah yang sama.
Saat Anda bekerja dengan vault bersama, penting untuk mempertimbangkan jumlah operasi yang Anda lakukan terhadap vault. Operasi termasuk membaca rahasia dan melakukan operasi enkripsi atau dekripsi. Key Vault memberlakukan batasan jumlah permintaan yang dapat dibuat terhadap satu vault, dan di semua vault dalam langganan Azure. Pastikan Anda mengikuti panduan pembatasan. Penting untuk mengikuti praktik yang direkomendasikan, termasuk penembolokan rahasia yang Anda ambil dan menggunakan enkripsi amplop dengan aman untuk menghindari pengiriman setiap operasi enkripsi ke Key Vault. Saat Mengikuti praktik terbaik ini, Anda dapat menjalankan solusi berskala tinggi terhadap satu vault.
Jika Anda perlu menyimpan rahasia, kunci, atau sertifikat khusus penyewa, pertimbangkan untuk menggunakan konvensi penamaan seperti awalan penamaan. Misalnya, Anda dapat menambahkan ID penyewa ke nama setiap rahasia. Kemudian, kode aplikasi Anda dapat dengan mudah memuat nilai rahasia tertentu untuk penyewa tertentu.
Fitur Azure Key Vault yang mendukung multitenansi
Tag
Key Vault mendukung penandaan rahasia, sertifikat, dan kunci dengan metadata kustom, sehingga Anda dapat menggunakan tag untuk melacak ID penyewa untuk setiap rahasia khusus penyewa. Namun, Key Vault tidak mendukung kueri berdasarkan tag, sehingga fitur ini paling cocok untuk tujuan manajemen, bukan untuk digunakan dalam logika aplikasi Anda.
Informasi selengkapnya:
Dukungan Azure Policy
Jika Anda memutuskan untuk menyebarkan sejumlah besar vault, penting untuk memastikan bahwa vault mengikuti standar yang konsisten untuk konfigurasi akses jaringan, pengelogan, dan kontrol akses. Pertimbangkan untuk menggunakan Azure Policy untuk memverifikasi bahwa vault telah dikonfigurasi sesuai dengan kebutuhan Anda.
Informasi selengkapnya:
HSM Terkelola dan Dedicated HSM
Jika Anda perlu melakukan sejumlah besar operasi per detik, dan batas operasi Key Vault tidak cukup, pertimbangkan untuk menggunakan HSM Terkelola atau Dedicated HSM. Kedua produk memberi Anda jumlah kapasitas yang dipesan, tetapi biasanya lebih mahal daripada Key Vault. Selain itu, ketahui batasan jumlah instans layanan ini yang dapat Anda sebarkan ke setiap wilayah.
Informasi selengkapnya:
- Bagaimana cara memutuskan apakah akan menggunakan Azure Key Vault atau Azure Dedicated HSM?
- Apakah Azure Dedicated HSM tepat untuk Anda?
Kontributor
Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.
Penulis utama:
- John Downs | Insinyur Perangkat Lunak Utama
Kontributor lain:
- Jack Lichwa | Manajer Produk Utama, Azure Key Vault
- Arsen Vladimirskiy | Teknisi Pelanggan Utama, FastTrack untuk Azure
Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.
Langkah berikutnya
Tinjau pendekatan penerapan dan konfigurasi untuk multitenancy.