Informazioni su Azure Key Vault

Azure Key Vault è una delle diverse soluzioni di gestione delle chiavi in Azure e consente di risolvere i problemi seguenti:

• Gestione dei segreti: Azure Key Vault può essere usato per archiviare in modo sicuro e controllare rigorosamente l'accesso a token, password, certificati, chiavi API e altri segreti.
• Gestione delle chiavi -È possibile usare Azure Key Vault come soluzione di gestione delle chiavi. Con Azure Key Vault è semplice creare e controllare le chiavi di crittografia usate per crittografare i dati.
• Gestione dei certificati - Azure Key Vault facilita il provisioning, la gestione e la distribuzione di certificati TLS/SSL (Transport Layer Security/Secure Sockets Layer) pubblici e privati da usare con Azure e con le risorse interne connesse.

Azure Key Vault offre due livelli di servizio: il livello Standard, che esegue la crittografia con una chiave software, e il livello Premium, che include chiavi protette dal modulo di protezione hardware. Per un confronto tra i livelli Standard e Premium, vedere la pagina relativa ai prezzi di Azure Key Vault.

Nota

Zero Trust è una strategia di sicurezza che comprende tre principi: "Verificare in modo esplicito", "Usare l'accesso con privilegi minimi" e "Presupporre violazione". La protezione dei dati, inclusa la gestione delle chiavi, supporta il principio "usare l'accesso con privilegi minimi". Per altre informazioni, vedere Che cos'è Zero Trust?

Vantaggi di Azure Key Vault

Centralizzare i segreti delle applicazioni

Centralizzando l'archiviazione dei segreti delle applicazioni in Azure Key Vault è possibile controllare la distribuzione dei segreti. Key Vault riduce notevolmente le probabilità di divulgazione accidentale dei segreti. Quando gli sviluppatori di applicazioni usano Key Vault, non devono più archiviare le informazioni di sicurezza nell'applicazione. Il fatto di non dover archiviare le informazioni di sicurezza nelle applicazioni elimina la necessità di inserirle nel codice. Ad esempio, per un'applicazione potrebbe essere necessario connettersi a un database. Invece di archiviare la stringa di connessione nel codice dell'app, è possibile archiviarla in modo sicuro in Key Vault.

Le applicazioni possono accedere in modo sicuro alle informazioni necessarie tramite URI. Questi URI permettono alle applicazioni di recuperare versioni specifiche di un segreto. Non è necessario scrivere codice personalizzato per proteggere le informazioni segrete archiviate in Key Vault.

Archiviare segreti e chiavi con la massima sicurezza

L'accesso di un chiamante (utente o applicazione) a un'istanza di Key Vault richiede opportune procedure di autenticazione e autorizzazione. L'autenticazione stabilisce l'identità del chiamante, mentre l'autorizzazione determina le operazioni che il chiamante è autorizzato a eseguire.

L'autenticazione viene eseguita tramite Microsoft Entra ID. L'autorizzazione può essere eseguita tramite il controllo degli accessi in base al ruolo di Azure o i criteri di accesso di Key Vault. Il controllo degli accessi in base al ruolo di Azure può essere usato sia per la gestione degli insiemi di credenziali che per accedere ai dati archiviati in un insieme di credenziali, mentre i criteri di accesso dell'insieme di credenziali delle chiavi possono essere usati solo quando si tenta di accedere ai dati archiviati in un insieme di credenziali.

Gli insiemi di credenziali delle chiavi di Azure possono essere protetti tramite software o, con il livello Premium di Azure Key Vault, tramite hardware per mezzo dei moduli di protezione hardware (HSM). Le chiavi, i segreti e i certificati protetti tramite software sono protetti da Azure con algoritmi standard del settore e lunghezze delle chiavi. Per le situazioni in cui è necessaria una maggiore sicurezza, è possibile importare o generare le chiavi in moduli di protezione hardware che non escono mai dai limiti del modulo di protezione hardware. Azure Key Vault usa moduli di protezione hardware convalidati federali per l'elaborazione delle informazioni standard 140. È possibile usare gli strumenti forniti dal fornitore del modulo di protezione hardware per spostare una chiave dal modulo di protezione hardware ad Azure Key Vault.

Azure Key Vault è infine progettato in modo che Microsoft non possa vedere o estrarre i dati.

Monitorare l'accesso e l'uso

Dopo aver creato un paio di insiemi di credenziali delle chiavi, è necessario monitorare come e quando si accede alle chiavi e ai segreti. È possibile monitorare l'attività abilitando la registrazione per gli insiemi di credenziali. È possibile configurare Azure Key Vault per eseguire queste operazioni:

• Archivia in un account di archiviazione.
• Streaming in un hub eventi.
• Inviare i log ai log di Monitoraggio di Azure

L'utente ha il controllo dei registri e può proteggerli limitando l'accesso. È anche possibile eliminare i log non più necessari.

Amministrazione semplificata dei segreti delle applicazioni

Quando si archiviano dati importanti, è necessario eseguire diversi passaggi. Le informazioni di sicurezza devono essere protette, devono seguire un ciclo di vita e devono avere disponibilità elevata. Azure Key Vault semplifica il processo per soddisfare questi requisiti:

• Eliminando la necessità di competenze interne in materia di moduli di protezione hardware.
• Aumentando le prestazioni con breve preavviso per soddisfare i picchi d'uso dell'organizzazione.
• Replicando i contenuti dell'insieme di credenziali delle chiavi all'interno di un'area e verso un'area secondaria. La replica dei dati assicura disponibilità elevata e non richiede alcuna azione da parte dell'amministratore per attivare il failover.
• Offrendo opzioni di amministrazione di Azure standard tramite il portale, l'interfaccia della riga di comando di Azure e PowerShell.
• Automatizzando determinate attività sui certificati acquistati da Autorità di certificazione pubbliche, ad esempio la registrazione e il rinnovo.

Azure Key Vault consente anche di separare i segreti delle applicazioni. Le applicazioni possono accedere solo all'insieme di credenziali per il quale hanno l'autorizzazione ed essere limitate alla sola esecuzione di alcune operazioni specifiche. È possibile creare un'istanza di Azure Key Vault per ogni applicazione e limitare i segreti archiviati in un'istanza a un'applicazione e un team di sviluppatori specifici.

Integrare il servizio con altri servizi di Azure

In qualità di archivio sicuro in Azure, Key Vault è stato usato per semplificare scenari come i seguenti:

• Azure Disk Encryption
• Funzionalità Always Encrypted e Transparent Data Encryption in SQL server e nel Database SQL di Azure
• Servizio app di Azure.

Key Vault può integrarsi con account di archiviazione, hub eventi e Log Analytics.

Passaggi successivi

• Gestione delle chiavi in Azure
• Vedere altre informazioni su chiavi, segreti e certificati
• Guida introduttiva: Creare un'istanza di Azure Key Vault usando l'interfaccia della riga di comando
• Autenticazione, richieste e risposte
• Che cos'è Zero Trust?