Info over Azure Key Vault

  • Artikel

Azure Key Vault is een van de verschillende oplossingen voor sleutelbeheer in Azure en helpt de volgende problemen op te lossen:

  • Geheimenbeheer - Met Azure Key Vault kunt u veilig de toegang tot tokens, wachtwoorden, certificaten, API-sleutels en andere geheimen opslaan en strikt beheren
  • Sleutelbeheer : Azure Key Vault kan worden gebruikt als een oplossing voor sleutelbeheer. Met Azure Key Vault kunt u eenvoudig de versleutelingssleutels maken en beheren waarmee uw gegevens worden versleuteld.
  • Certificaatbeheer - Met Azure Key Vault kunt u eenvoudig openbare en persoonlijke Tls/SSL-certificaten (Transport Layer Security/Secure Sockets Layer) inrichten, beheren en implementeren voor gebruik met Azure en uw interne verbonden resources.

Azure Key Vault heeft twee servicelagen: Standard, die wordt versleuteld met een softwaresleutel en een Premium-laag, die hardwarebeveiligingsmodule(HSM)-beveiligde sleutels bevat. Als u een vergelijking tussen de lagen Standard en Premium wilt zien, raadpleegt u de pagina met prijzen voor Azure Key Vault.

Notitie

Zero Trust is een beveiligingsstrategie die bestaat uit drie principes: 'Expliciet verifiëren', 'Minimale toegang tot bevoegdheden gebruiken' en 'Inbreuk aannemen'. Gegevensbeveiliging, inclusief sleutelbeheer, ondersteunt het principe 'toegang tot minimale bevoegdheden gebruiken'. Zie Wat is Zero Trust?

Waarom zou ik Azure Key Vault gebruiken?

Toepassingsgeheimen centraliseren

Door de opslag van toepassingsgeheimen te centraliseren in Azure Key Vault kunt u de verdeling ervan bepalen. Key Vault vermindert de kans dat geheimen per ongeluk worden gelekt aanzienlijk. Wanneer ontwikkelaars van toepassingen Key Vault gebruiken, hoeven ze geen beveiligingsgegevens meer op te slaan in hun toepassing. Doordat u geen beveiligingsinformatie in toepassingen hoeft op te slaan elimineert u de noodzaak om deze informatie onderdeel van de code te maken. Een toepassing wil bijvoorbeeld verbinding maken met een database. In plaats van de verbindingsreeks op te slaan in de code van de app, kunt u deze veilig bewaren in Key Vault.

Met behulp van URI's hebben uw toepassingen veilig toegang tot de benodigde gegevens. Met deze URI's kunnen de toepassingen specifieke versies van een geheim ophalen. U hoeft geen aangepaste code te schrijven om de geheime gegevens te beveiligen die zijn opgeslagen in Key Vault.

Geheimen en sleutels veilig opslaan

Voor toegang tot een sleutelkluis is de juiste verificatie en autorisatie vereist voordat een aanroeper (gebruiker of toepassing) toegang kan krijgen. Met verificatie wordt de identiteit van de aanroeper vastgesteld, terwijl autorisatie bepaalt welke bewerkingen ze mogen uitvoeren.

Verificatie wordt uitgevoerd via Microsoft Entra-id. Autorisatie kan worden uitgevoerd via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) of Key Vault-toegangsbeleid. Azure RBAC kan worden gebruikt voor zowel het beheer van de kluizen als voor toegang tot gegevens die zijn opgeslagen in een kluis, terwijl toegangsbeleid voor key vault alleen kan worden gebruikt wanneer u toegang probeert te krijgen tot gegevens die zijn opgeslagen in een kluis.

Azure-sleutelkluizen kunnen worden beveiligd met software of, zoals bij de Premium-laag voor Azure Key Vault, met hardware door middel van HSM's (Hardware Security Modules). Met software beveiligde sleutels, geheimen en certificaten worden beveiligd door Azure. Hiervoor wordt gebruikgemaakt van algoritmen en sleutellengten die voldoen aan de industriestandaard. Voor situaties waar extra zekerheid is vereist, kunt u sleutels in HSM's importeren of genereren die nooit verdergaan dan de HSM-grens. Azure Key Vault maakt gebruik van Federal Information Processing Standard 140 gevalideerde HSM's. U kunt hulpprogramma's van de HSM-leverancier gebruiken om een sleutel van uw HSM naar Azure Key Vault te verplaatsen.

Ten slotte is Azure Key Vault zo ontworpen dat Microsoft uw gegevens niet ziet of extraheert.

Toegang tot en gebruik van controles

Zodra u een aantal Key Vaults hebt gemaakt, wilt u controleren hoe en wanneer uw sleutels en geheimen worden geopend. U kunt de activiteit controleren door logboekregistratie voor uw kluizen in te schakelen. U kunt Azure Key Vault voor het volgende configureren:

  • Archiveren in een opslagaccount.
  • Streamen naar een Event Hub.
  • De logboeken verzenden naar logboeken van Azure Monitor.

U hebt de controle over uw logboeken en kunt ze beveiligen door de toegang te beperken. Bovendien kunt u logboeken verwijderen die u niet meer nodig hebt.

Vereenvoudigd beheer van toepassingsgeheimen

Bij het opslaan van waardevolle gegevens moet u verschillende stappen uitvoeren. Beveiligingsinformatie moet worden beschermd, moet een bepaalde levenscyclus volgen en moet maximaal beschikbaar zijn. Met Azure Key Vault vereenvoudigt u het proces om aan deze vereisten te voldoen door:

  • Het wegnemen van de noodzaak tot interne kennis van Hardware Security Modules.
  • Het op korte termijn omhoog schalen om de gebruikspieken van uw organisatie aan te kunnen.
  • Het repliceren van de inhoud van uw Key Vault binnen een regio en naar een secundaire regio. Gegevensreplicatie zorgt voor een maximale beschikbaarheid en de beheerder hoeft geen actie te ondernemen om de failover te activeren.
  • Het bieden van standaard Azure-beheeropties via de portal, Azure CLI en PowerShell.
  • Het automatiseren van bepaalde taken voor certificaten die u aanschaft bij openbare CA's, zoals registreren en verlengen.

Bovendien kunt u met sleutelkluizen van Azure toepassingsgeheimen van elkaar scheiden. Toepassingen hebben alleen toegang tot de kluis waartoe ze toegang hebben en kunnen worden beperkt tot het uitvoeren van specifieke bewerkingen. U kunt een Azure-sleutelkluis per toepassing maken en de geheimen die in een bepaalde sluitelkleus zijn opgeslagen beperken tot een specifieke toepassing en team van ontwikkelaars.

Integreren met andere Azure-services

Key Vault wordt in Azure gebruikt als beveiligd archief om scenario's te vereenvoudigen, zoals:

Key Vault zelf kan worden geïntegreerd met opslagaccounts, Event Hubs en logboekanalyses.

Volgende stappen