Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Key Vault è un servizio cloud che fornisce un archivio sicuro per i segreti, ad esempio chiavi, password, certificati e altre informazioni riservate. Key Vault offre una gamma di funzionalità di affidabilità predefinite per garantire che i segreti rimangano disponibili.
Quando si usa Azure, l'affidabilità è una responsabilità condivisa. Microsoft offre una gamma di funzionalità per supportare la resilienza e il ripristino. L'utente è responsabile della comprensione del funzionamento di tali funzionalità all'interno di tutti i servizi usati e della selezione delle funzionalità necessarie per soddisfare gli obiettivi aziendali e gli obiettivi di tempo di attività.
Questo articolo descrive come Key Vault sia resiliente a un'ampia gamma di potenziali interruzioni e problemi, tra cui errori temporanei, interruzioni della zona di disponibilità e interruzioni dell'area. Descrive anche come usare i backup per eseguire il ripristino da altri tipi di problemi, funzionalità di ripristino per impedire l'eliminazione accidentale ed evidenzia alcune informazioni chiave sul contratto di servizio di Key Vault.
Raccomandazioni per la distribuzione di produzione per l'affidabilità
Per i carichi di lavoro di produzione, è consigliabile:
- Usare insiemi di credenziali delle chiavi di livello Standard o Premium.
- Abilitare l'eliminazione temporanea e la protezione dall'eliminazione per impedire eliminazioni accidentali o dannose.
- Per i carichi di lavoro critici, è consigliabile implementare strategie in più aree descritte in questa guida.
Panoramica dell'architettura di affidabilità
Per garantire una durabilità elevata e la disponibilità di chiavi, segreti e certificati in caso di errore hardware o interruzione della rete, Key Vault offre più livelli di ridondanza per mantenere la disponibilità durante gli eventi seguenti:
- Errori hardware
- Interruzioni di rete
- Emergenze localizzate
- Attività di manutenzione
Per impostazione predefinita, Key Vault ottiene la ridondanza replicando l'insieme di credenziali delle chiavi e il relativo contenuto all'interno dell'area.
Se l'area ha un'area abbinata e l'area abbinata si trova nella stessa area geografica dell'area primaria, il contenuto viene replicato anche nell'area abbinata. Questo approccio garantisce una durabilità elevata delle chiavi e dei segreti, che protegge da errori hardware, interruzioni di rete o emergenze localizzate.
Resilienza a errori temporanei
Gli errori temporanei sono errori brevi e intermittenti nei componenti. Si verificano spesso in un ambiente distribuito come il cloud e fanno parte delle normali operazioni. Gli errori temporanei si correggono dopo un breve periodo di tempo. È importante che le applicazioni possano gestire gli errori temporanei, in genere ripetendo le richieste interessate.
Tutte le applicazioni ospitate nel cloud devono seguire le indicazioni sulla gestione degli errori temporanei di Azure quando comunicano con qualsiasi API, database e altri componenti ospitati nel cloud. Per altre informazioni, vedere Raccomandazioni per la gestione degli errori temporanei.
Per gestire eventuali errori temporanei che possono verificarsi, le applicazioni client devono implementare la logica di ripetizione dei tentativi quando interagiscono con Key Vault. Prendere in considerazione le procedure consigliate seguenti:
Usare gli SDK di Azure, che in genere includono meccanismi di ripetizione dei tentativi predefiniti.
Implementare criteri di ripetizione dei tentativi di backoff esponenziali se i client si connettono direttamente a Key Vault.
Memorizzare nella cache i segreti in memoria quando possibile per ridurre le richieste dirette a Key Vault.
Monitorare gli errori di limitazione, poiché il superamento dei limiti del servizio Key Vault causerà limitazioni.
Se si usa Key Vault in scenari a velocità effettiva elevata, è consigliabile distribuire le operazioni tra più insiemi di credenziali delle chiavi per evitare limitazioni. Prendere in considerazione le linee guida specifiche di Key Vault per gli scenari seguenti:
Uno scenario con velocità effettiva elevata è uno che si avvicina o supera i limiti del servizio per le operazioni di Key Vault, ad esempio 200 operazioni al secondo per le chiavi protette da software.
Per carichi di lavoro con velocità effettiva elevata, dividere il traffico di Key Vault tra più insiemi di credenziali e aree diverse.
Il limite a livello di sottoscrizione per tutti i tipi di transazione è pari a cinque volte il limite di un singolo insieme di credenziali delle chiavi.
Usare un insieme di credenziali separato per ogni dominio di sicurezza o disponibilità. Ad esempio, se sono presenti cinque app in due aree, è consigliabile usare 10 insiemi di credenziali.
Per operazioni a chiave pubblica, ad esempio crittografia, wrapping e verifica, eseguire queste operazioni in locale memorizzando nella cache il materiale della chiave pubblica.
Per altre informazioni, vedere Linee guida per la limitazione di Key Vault.
Resilienza ai guasti delle zone di disponibilità
Le zone di disponibilità sono gruppi di data center separati fisicamente all'interno di un'area di Azure. In caso di guasto in una zona, i servizi possono passare a una delle zone restanti.
Key Vault fornisce automaticamente la ridondanza della zona nelle aree che supportano le zone di disponibilità. Questa ridondanza offre disponibilità elevata all'interno di un'area senza richiedere alcuna configurazione specifica.
Quando una zona di disponibilità non è più disponibile, Key Vault reindirizza automaticamente le richieste ad altre zone di disponibilità integre per garantire la disponibilità elevata.
Supporto di area
Key Vault abilita la ridondanza della zona per impostazione predefinita in tutte le aree di Azure che supportano le zone di disponibilità.
Requisiti
Tutti gli SKU di Key Vault, Standard e Premium supportano lo stesso livello di disponibilità e resilienza. Non esistono requisiti specifici del livello per ottenere la resilienza della zona.
Costo
Non sono previsti costi aggiuntivi associati alla ridondanza zonale in Key Vault. I prezzi si basano sullo SKU, Standard o Premium e sul numero di operazioni eseguite.
Comportamento quando tutte le zone sono integre
Questa sezione descrive cosa ci si può aspettare quando i key vault si trovano in un'area con zone di disponibilità e tutte le zone di disponibilità sono operative.
Routing del traffico tra zone: Key Vault gestisce automaticamente il routing del traffico tra le zone di disponibilità. Durante le normali operazioni, le richieste vengono distribuite in modo trasparente tra le zone.
Replica dei dati tra zone: I dati di Key Vault vengono replicati in modo sincrono tra le zone di disponibilità nelle aree che supportano le zone. Questa replica garantisce che le chiavi, i segreti e i certificati rimangano coerenti e disponibili anche se una zona non è più disponibile.
Comportamento durante un errore di zona
La sezione seguente descrive cosa aspettarsi quando gli insiemi di credenziali delle chiavi si trovano in un'area con zone di disponibilità e una o più zone di disponibilità non sono disponibili:
- Rilevamento e risposta: Il servizio Key Vault è responsabile del rilevamento degli errori della zona e della risposta automatica. Non è necessario eseguire alcuna attività durante un guasto della zona.
- Notifica: Microsoft non invia automaticamente una notifica quando una zona è inattiva. È tuttavia possibile usare Integrità risorse di Azure per monitorare l'integrità di una singola risorsa ed è possibile configurare gli avvisi di Integrità risorse per notificare i problemi. È anche possibile usare Integrità dei servizi di Azure per comprendere l'integrità complessiva del servizio, inclusi eventuali errori di zona, ed è possibile configurare gli avvisi di integrità dei servizi per notificare i problemi.
Richieste attive: Durante un errore di zona, la zona interessata potrebbe non riuscire a gestire le richieste in corso, il che richiede alle applicazioni client di ripeterle. Le applicazioni client devono seguire le procedure di gestione degli errori temporanei per assicurarsi che possano ripetere le richieste in caso di errore della zona.
Perdita di dati prevista: Non è prevista alcuna perdita di dati durante un errore di zona a causa della replica sincrona tra le zone.
Tempo di inattività previsto: Per le operazioni di lettura, durante un errore di zona ci dovrebbe essere un minimo o nessun tempo di inattività. Le operazioni di scrittura potrebbero riscontrare un'indisponibilità temporanea mentre il servizio reagisce al guasto della zona. Si prevede che le operazioni di lettura rimangano disponibili durante i guasti della zona.
Reindirizzamento del traffico: Key Vault reindirizza automaticamente il traffico dalla zona interessata alle zone integre senza richiedere alcun intervento da parte del cliente.
Ripristino della zona
Quando la zona di disponibilità interessata viene ripristinata, Key Vault ripristina automaticamente le operazioni in tale zona. La piattaforma Azure gestisce completamente questo processo e non richiede alcun intervento del cliente.
Resilienza agli errori a livello di area
Le risorse di Key Vault vengono distribuite in una singola area di Azure. Se la regione diventa non disponibile, anche il Key Vault diventa non disponibile. Esistono tuttavia approcci che è possibile usare per garantire la resilienza alle interruzioni dell'area. Questi approcci dipendono dal fatto che l'insieme di credenziali delle chiavi si trovi in un'area abbinata o non abbinata e dei requisiti e dalla configurazione specifici.
Failover gestito da Microsoft in un'area abbinata
Key Vault supporta la replica e il failover gestiti da Microsoft per gli insiemi di credenziali delle chiavi nella maggior parte delle aree abbinate. Il contenuto dell'insieme di credenziali delle chiavi viene replicato automaticamente sia all'interno dell'area che, in modo asincrono, nell'area abbinata. Questo approccio garantisce un'elevata durabilità delle chiavi e dei segreti. In caso di malfunzionamento prolungato dell'area, Microsoft potrebbe avviare un failover a livello di area dell'insieme di credenziali delle chiavi.
Le aree seguenti non supportano la replica o il failover gestiti da Microsoft tra aree:
- Brasile meridionale
- Brasile meridionale
- Stati Uniti occidentali 3
- Qualsiasi area che non ha un'area abbinata
Importante
Microsoft attiva il failover gestito da Microsoft. È probabile che si verifichi dopo un ritardo significativo e venga eseguito nel miglior modo possibile. Esistono anche alcune eccezioni a questo processo. Il failover dei Key Vault potrebbe verificarsi in un momento diverso dal tempo di failover di altri servizi di Azure.
Se è necessario essere resilienti alle interruzioni dell'area, è consigliabile usare una delle soluzioni personalizzate in più aree per la resilienza.
È anche possibile usare la funzionalità di backup e ripristino per replicare il contenuto dell'insieme di credenziali in un'altra area di propria scelta.
Considerazioni
Tempo di inattività: mentre il failover è in corso, l'insieme di credenziali delle chiavi potrebbe non essere disponibile per alcuni minuti.
Sola lettura dopo il failover: dopo il failover, l'insieme di credenziali delle chiavi diventa di sola lettura e supporta solo azioni limitate. Non è possibile modificare le proprietà dell'insieme di credenziali delle chiavi durante il funzionamento nell'area secondaria e non è possibile modificare i criteri di accesso e le configurazioni del firewall durante il funzionamento nell'area secondaria.
Quando l'insieme di credenziali delle chiavi è in modalità di sola lettura, sono supportate solo le operazioni seguenti:
- List certificates
- Ottenere i certificati
- Elenco dei segreti
- Ottieni segreti
- Elenco delle chiavi
- Get (properties of) keys
- Encrypt
- Decrypt
- Wrap
- Unwrap
- Verify
- Segno
- Backup
Costo
Non sono previsti costi aggiuntivi per le funzionalità di replica in più aree predefinite di Key Vault.
Comportamento quando tutte le aree sono integre
La sezione seguente descrive cosa aspettarsi quando un Key Vault è situato in una regione che supporta la replica e il failover gestiti da Microsoft e la regione primaria è operativa:
Instradamento del traffico tra regioni: Durante le normali operazioni, tutte le richieste vengono instradate verso la regione primaria dove è distribuito il tuo key vault.
Replica dei dati tra aree: Key Vault replica i dati in modo asincrono nell'area abbinata. Quando si apportano modifiche al contenuto dell'insieme di credenziali delle chiavi, tali modifiche vengono prima di tutto sottoposte a commit nell'area primaria e quindi replicate nell'area secondaria.
Comportamento durante un errore di area
La sezione seguente descrive cosa aspettarsi quando un Key Vault si trova in un'area che supporta replica e failover gestiti da Microsoft ed è presente un'interruzione nell'area primaria.
- Rilevamento e risposta: Microsoft può decidere di eseguire un failover se l'area primaria viene persa. Questo processo può richiedere diverse ore dopo la perdita dell'area primaria o più in alcuni scenari. Il failover dei Key Vault di Azure potrebbe non avvenire nello stesso momento degli altri servizi Azure.
- Notifica: Microsoft non invia automaticamente una notifica quando una zona è inattiva. È tuttavia possibile usare Integrità risorse di Azure per monitorare l'integrità di una singola risorsa ed è possibile configurare gli avvisi di Integrità risorse per notificare i problemi. È anche possibile usare Integrità dei servizi di Azure per comprendere l'integrità complessiva del servizio, inclusi eventuali errori di zona, ed è possibile configurare gli avvisi di integrità dei servizi per notificare i problemi.
Richieste attive: Durante un failover dell'area, le richieste attive potrebbero non riuscire e le applicazioni client devono riprovare dopo il completamento del failover.
Perdita di dati prevista: Potrebbe verificarsi una perdita di dati se le modifiche non vengono replicate nell'area secondaria prima che l'area primaria non riesca.
Tempo di inattività previsto: Durante una grave interruzione dell'area primaria, il Key Vault potrebbe non essere disponibile per diverse ore o finché Microsoft non avvia il failover nell'area secondaria.
Se si usa collegamento privato di Azure per connettersi all'insieme di credenziali delle chiavi, per stabilire di nuovo la connessione potrebbero essere necessari fino a 20 minuti dopo il failover dell'area.
Reindirizzamento del traffico: Al termine del failover di un'area, le richieste vengono indirizzate automaticamente all'area abbinata senza richiedere alcun intervento del cliente.
Soluzioni personalizzate in più aree per la resilienza
Esistono scenari in cui le funzionalità di failover tra aree gestite da Microsoft di Key Vault non sono adatte:
L'insieme di credenziali delle chiavi si trova in un'area non abbinata.
L'insieme di credenziali delle chiavi si trova in un'area abbinata che non supporta la replica e il failover tra aree gestite da Microsoft in Brasile meridionale, Brasile sud-orientale e Stati Uniti occidentali 3.
Gli obiettivi di tempo di attività dell’organizzazione non sono soddisfatti dai tempi di ripristino o dalla perdita di dati previsti dal failover tra aree gestito da Microsoft.
È necessario eseguire il failover in un'area che non è accoppiata con la propria area primaria.
È possibile progettare una soluzione di failover tra aree personalizzate seguendo questa procedura:
Creare insiemi di credenziali delle chiavi separati in aree diverse.
Usare la funzionalità di backup e ripristino per mantenere segreti coerenti tra aree.
Implementare la logica a livello di applicazione per eseguire il failover tra insiemi di credenziali delle chiavi.
Backup e ripristino
Key Vault può eseguire il backup e il ripristino di singoli segreti, chiavi e certificati. I backup sono destinati a fornire una copia offline dei tuoi segreti nell'improbabile eventualità che tu perda l'accesso alla tua cassaforte delle chiavi.
Considerare i fattori chiave seguenti relativi alla funzionalità di backup:
I backup creano BLOB crittografati che non possono essere decrittografati all'esterno di Azure.
I backup possono essere ripristinati solo in un Key Vault nella stessa sottoscrizione Azure e nella stessa geografia di Azure.
Esiste una limitazione del backup di non più di 500 versioni precedenti di una chiave, un segreto o un oggetto certificato.
I backup sono snapshot del momento e non vengono aggiornati automaticamente quando cambiano le informazioni riservate.
Per la maggior parte delle soluzioni, non è consigliabile basarsi esclusivamente sui backup. Usare invece le altre funzionalità descritte in questa guida per supportare i requisiti di resilienza. Tuttavia, i backup proteggono da alcuni rischi che altri approcci non comportano, ad esempio l'eliminazione accidentale di segreti specifici. Per altre informazioni, vedere Backup di Key Vault.
Funzionalità di ripristino
Key Vault offre due funzionalità di ripristino delle chiavi per impedire l'eliminazione accidentale o dannosa:
Eliminazione temporanea: se abilitata, l'eliminazione temporanea consente di ripristinare gli insiemi di credenziali e gli oggetti eliminati durante un periodo di conservazione configurabile. Questo periodo è un valore predefinito di 90 giorni. L'eliminazione temporanea è comparabile a un cestino per le risorse dell'insieme di credenziali delle chiavi.
Protezione dall'eliminazione definitiva: se abilitata, la protezione dall'eliminazione definitiva impedisce l'eliminazione permanente dell'insieme di credenziali delle chiavi e dei relativi oggetti fino alla scadenza del periodo di conservazione. Questa protezione impedisce agli attori malintenzionati di distruggere definitivamente i segreti.
È consigliabile usare entrambe le funzionalità per gli ambienti di produzione. Per ulteriori informazioni, consultare Protezione da eliminazione temporanea e protezione da eliminazione definitiva nella documentazione sulla gestione del ripristino di Key Vault.
Contratto di servizio
Il contratto di servizio per i servizi di Azure descrive la disponibilità prevista di ogni servizio e le condizioni che la soluzione deve soddisfare per raggiungere tale aspettativa di disponibilità. Per altre informazioni, vedere Contratti di servizio per Servizi online.