Esplorare Azure Key Vault

  • 3 minuti

Il servizio Azure Key Vault supporta due tipi di contenitori, vale a dire gli insiemi di credenziali e i pool di moduli di protezione hardware (HSM) gestiti. Gli insiemi di credenziali offrono il supporto per l'archiviazione di chiavi, segreti e certificati supportati da software e HSM. I pool di HSM gestiti forniscono supporto solo per le chiavi protette da moduli di protezione hardware.

Azure Key Vault aiuta a risolvere i problemi seguenti:

  • Gestione dei segreti: Azure Key Vault consente l'archiviazione sicura e un rigido controllo di accesso per token, password, certificati, chiavi API e altri segreti

  • Gestione delle chiavi: Azure Key Vault può essere inoltre usato come soluzione di gestione delle chiavi. Con Azure Key Vault è semplice creare e controllare le chiavi di crittografia usate per crittografare i dati.

  • Gestione dei certificati: Azure Key Vault è anche un servizio che facilita il provisioning, la gestione e la distribuzione dei certificati SSL/TLS (Secure Sockets Layer/Transport Layer Security) pubblici e privati da usare con Azure e le risorse connesse interne.

Azure Key Vault offre due livelli di servizio: il livello Standard, che esegue la crittografia con una chiave software, e il livello Premium, che include chiavi protette dal modulo di protezione hardware. Per un confronto tra i livelli Standard e Premium, vedere la pagina relativa ai prezzi di Azure Key Vault.

Principali vantaggi forniti dall'uso di Azure Key Vault

  • Segreti delle applicazioni centralizzati:centralizzando l'archiviazione dei segreti delle applicazioni in Azure Key Vault, è possibile controllare la distribuzione dei segreti. Ad esempio, la stringa di connessione può essere archiviata in modo sicuro in Key Vault anziché nel codice dell'app. Le applicazioni possono accedere in modo sicuro alle informazioni necessarie tramite URI. Questi URI permettono alle applicazioni di recuperare versioni specifiche di un segreto.

  • Archiviazione sicura di segreti e chiavi:l'accesso di un chiamante (utente o applicazione) a un'istanza di Key Vault richiede opportune procedure di autenticazione e autorizzazione. L'autenticazione viene eseguita tramite Microsoft Entra ID. L'autorizzazione può essere eseguita tramite il controllo degli accessi in base al ruolo di Azure o i criteri di accesso di Key Vault. Il controllo degli accessi in base al ruolo di Azure può essere usato sia per la gestione degli insiemi di credenziali sia per accedere ai dati archiviati in un insieme di credenziali, mentre il criterio di accesso dell'insieme di credenziali delle chiavi può essere usato solo quando si tenta di accedere ai dati archiviati in un insieme di credenziali. Gli insiemi di credenziali delle chiavi di Azure possono essere protetti tramite software o, con il livello Premium di Azure Key Vault, tramite hardware per mezzo dei moduli di protezione hardware (HSM).

  • Monitoraggio dell’accesso e dell’uso: è possibile monitorare l'attività abilitando la registrazione per gli insiemi di credenziali. L'utente ha il controllo dei registri e può proteggerli limitando l'accesso. È anche possibile eliminare i log non più necessari. Azure Key Vault può essere configurato per:

    • Archivia in un account di archiviazione.
    • Streaming in un hub eventi.
    • Inviare i log ai log di Monitoraggio di Azure

  • Amministrazione semplificata dei segreti delle applicazioni: oltre a dover essere protette, le informazioni di sicurezza devono seguire un ciclo di vita e devono avere disponibilità elevata. Azure Key Vault semplifica il processo per soddisfare questi requisiti:

    • Eliminando la necessità di avere competenze sui moduli di protezione hardware internamente all'azienda
    • Aumentando le dimensioni in tempi brevi per soddisfare i picchi di utilizzo dell'organizzazione.
    • Replicando i contenuti dell'insieme di credenziali delle chiavi all'interno di un'area e verso un'area secondaria. La replica dei dati assicura disponibilità elevata e non richiede alcuna azione da parte dell'amministratore per attivare il failover.
    • Offrendo opzioni di amministrazione di Azure standard tramite il portale, l'interfaccia della riga di comando di Azure e PowerShell.
    • Automatizzando determinate attività sui certificati acquistati da Autorità di certificazione pubbliche, ad esempio la registrazione e il rinnovo.