Informazioni su Azure Key Vault

Azure Key Vault è una delle diverse soluzioni di gestione chiave in Azure e consente di risolvere i problemi seguenti:

• Gestione dei segreti: Azure Key Vault può essere usato per archiviare in modo sicuro e controllare rigorosamente l'accesso a token, password, certificati, chiavi API e altri segreti.
• Gestione delle chiavi -È possibile usare Azure Key Vault come soluzione di gestione delle chiavi. Con Azure Key Vault è semplice creare e controllare le chiavi di crittografia usate per crittografare i dati.
• Gestione dei certificati - Azure Key Vault facilita il provisioning, la gestione e la distribuzione di certificati TLS/SSL (Transport Layer Security/Secure Sockets Layer) pubblici e privati da usare con Azure e con le risorse interne connesse.

Azure Key Vault offre due livelli di servizio: il livello Standard, che esegue la crittografia con una chiave software, e il livello Premium, che include chiavi protette dal modulo di protezione hardware (HSM). Per un confronto tra i livelli Standard e Premium, vedere la pagina relativa ai prezzi di Azure Key Vault.

Nota

Zero Trust è una strategia di sicurezza che comprende tre principi: "Verificare in modo esplicito", "Usare l'accesso con privilegi minimi" e "Presupporre la violazione". La protezione dei dati, inclusa la gestione delle chiavi, supporta il principio "usare l'accesso con privilegi minimi". Per altre informazioni, vedere Che cos'è Zero Trust?

Vantaggi di Azure Key Vault

Centralizzare i segreti delle applicazioni

Centralizzando l'archiviazione dei segreti delle applicazioni in Azure Key Vault è possibile controllare la distribuzione dei segreti. Key Vault riduce notevolmente le probabilità di divulgazione accidentale dei segreti. Quando gli sviluppatori di applicazioni usano Key Vault, non devono più archiviare le informazioni di sicurezza nell'applicazione. Il fatto di non dover archiviare le informazioni di sicurezza nelle applicazioni elimina la necessità di inserirle nel codice. Ad esempio, per un'applicazione potrebbe essere necessario connettersi a un database. Invece di archiviare la stringa di connessione nel codice dell'app, è possibile archiviarla in modo sicuro in Key Vault.

Le applicazioni possono accedere in modo sicuro alle informazioni necessarie tramite URI. Questi URI permettono alle applicazioni di recuperare versioni specifiche di un segreto. Non è necessario scrivere codice personalizzato per proteggere le informazioni segrete archiviate in Key Vault.

Archiviare segreti e chiavi con la massima sicurezza

L'accesso di un chiamante (utente o applicazione) a un'istanza di Key Vault richiede opportune procedure di autenticazione e autorizzazione. L'autenticazione stabilisce l'identità del chiamante, mentre l'autorizzazione determina le operazioni che possono eseguire.

L'autenticazione avviene tramite Azure Active Directory. L'autorizzazione può essere eseguita tramite il controllo degli accessi in base al ruolo di Azure o i criteri di accesso di Key Vault. Il controllo degli accessi in base al ruolo di Azure può essere usato sia per la gestione degli insiemi di credenziali che per l'accesso ai dati archiviati in un insieme di credenziali, mentre i criteri di accesso dell'insieme di credenziali delle chiavi possono essere usati solo quando si tenta di accedere ai dati archiviati in un insieme di credenziali.

Gli insiemi di credenziali delle chiavi di Azure possono essere protetti tramite software o, con il livello Premium di Azure Key Vault, tramite hardware per mezzo dei moduli di protezione hardware (HSM). Le chiavi, i segreti e i certificati protetti tramite software sono protetti da Azure con algoritmi standard del settore e lunghezze delle chiavi. Per le situazioni in cui è necessaria una maggiore sicurezza, è possibile importare o generare le chiavi in moduli di protezione hardware che non escono mai dai limiti del modulo di protezione hardware. Azure Key Vault usa moduli di protezione hardware nCipher, con convalida di tipo FIPS (Federal Information Processing Standards) 140-2 Livello 2. È possibile usare gli strumenti nCipher per spostare una chiave dal modulo di protezione hardware ad Azure Key Vault.

Azure Key Vault è infine progettato in modo che Microsoft non possa vedere o estrarre i dati.

Monitorare l'accesso e l'uso

Dopo aver creato un paio di insiemi di credenziali delle chiavi, è necessario monitorare come e quando si accede alle chiavi e ai segreti. È possibile monitorare l'attività abilitando la registrazione per gli insiemi di credenziali. È possibile configurare Azure Key Vault per eseguire queste operazioni:

• Archiviare in un account di archiviazione.
• Streaming in un hub eventi.
• Inviare i log ai log di Monitoraggio di Azure.

L'utente ha il controllo dei registri e può proteggerli limitando l'accesso. È anche possibile eliminare i log non più necessari.

Amministrazione semplificata dei segreti delle applicazioni

Quando si archiviano dati importanti, è necessario eseguire diversi passaggi. Le informazioni di sicurezza devono essere protette, devono seguire un ciclo di vita e devono avere disponibilità elevata. Azure Key Vault semplifica il processo per soddisfare i requisiti in questi modi:

• Eliminando la necessità di competenze interne in materia di moduli di protezione hardware.
• Aumentando le prestazioni con breve preavviso per soddisfare i picchi d'uso dell'organizzazione.
• Replicando i contenuti di un'area di Key Vault in un'area secondaria. La replica dei dati garantisce la disponibilità elevata ed elimina la necessità di interventi da parte dell'amministratore per l'attivazione del failover.
• Fornendo opzioni standard di amministrazione di Azure tramite il portale, l'interfaccia della riga di comando di Azure e PowerShell.
• Automatizzando determinate attività sui certificati acquistati da autorità di certificazione pubbliche, ad esempio la registrazione e il rinnovo.

Azure Key Vault consente anche di separare i segreti delle applicazioni. Le applicazioni possono accedere solo all'insieme di credenziali a cui sono autorizzati ad accedere e possono essere limitate solo a eseguire operazioni specifiche. È possibile creare un'istanza di Azure Key Vault per ogni applicazione e limitare i segreti archiviati in un'istanza a un'applicazione e un team di sviluppatori specifici.

Integrare il servizio con altri servizi di Azure

In qualità di archivio sicuro in Azure, Key Vault è stato usato per semplificare scenari come i seguenti:

• Azure Disk Encryption
• Funzionalità Always Encrypted e Transparent Data Encryption in SQL server e nel Database SQL di Azure
• Servizio app di Azure.

Key Vault può integrarsi con account di archiviazione, hub eventi e Log Analytics.

Passaggi successivi

• Gestione delle chiavi in Azure
• Vedere altre informazioni su chiavi, segreti e certificati
• Avvio rapido: Creare un'istanza di Azure Key Vault usando l'interfaccia della riga di comando
• Autenticazione, richieste e risposte
• Che cos'è Zero Trust?