Share via


Inleiding tot Key Vault in Azure Stack Hub

Vereisten

basisbeginselen van Key Vault

Key Vault in Azure Stack Hub helpt bij het beveiligen van cryptografische sleutels en geheimen die cloud-apps en -services gebruiken. Met behulp van Key Vault kunt u sleutels en geheimen versleutelen, zoals:

  • Verificatiesleutels
  • Opslagaccountsleutels
  • Gegevensversleutelingssleutels
  • .pfx-bestanden
  • Wachtwoorden

Key Vault stroomlijnt het beheerproces voor sleutels en zorgt dat u de controle houdt over de sleutels waarmee uw gegevens toegankelijk zijn en worden versleuteld. Ontwikkelaars kunnen binnen enkele minuten sleutels voor ontwikkel- en testdoeleinden maken en deze vervolgens probleemloos migreren naar productiesleutels. Beveiligingsbeheerders kunnen zo nodig machtigingen verlenen (en intrekken) voor sleutels.

Iedereen met een Azure Stack Hub-abonnement kan sleutelkluizen maken en gebruiken. Hoewel Key Vault voordelen biedt voor ontwikkelaars en beveiligingsbeheerders, kan de operator die andere Azure Stack Hub-services voor een organisatie beheert, deze implementeren en beheren. De Azure Stack Hub-operator kan zich bijvoorbeeld aanmelden met een Azure Stack Hub-abonnement en een kluis maken voor de organisatie waarin sleutels moeten worden opgeslagen. Zodra dat is gebeurd, kunnen ze het volgende doen:

  • Een sleutel of geheim maken of importeren.
  • Een sleutel of geheim intrekken of verwijderen.
  • Geef gebruikers of apps toegang tot de sleutelkluis, zodat ze de sleutels en geheimen ervan kunnen beheren of gebruiken.
  • Sleutelgebruik configureren (bijvoorbeeld ondertekenen of versleutelen).

De operator kan vervolgens ontwikkelaars voorzien van Uniform Resource Identifiers (URI's) om aan te roepen vanuit hun apps.

Ontwikkelaars kunnen de sleutels ook rechtstreeks beheren met behulp van API's. Zie de handleiding voor Key Vault ontwikkelaars voor meer informatie.

Scenario's

In de volgende scenario's wordt beschreven hoe Key Vault u kunt helpen om te voldoen aan de behoeften van ontwikkelaars en beveiligingsbeheerders.

Ontwikkelaar voor een Azure Stack Hub-app

Probleem: Ik wil een app schrijven voor Azure Stack Hub die gebruikmaakt van sleutels voor ondertekening en versleuteling. Ik wil dat deze sleutels extern van mijn app zijn, zodat de oplossing geschikt is voor een app die geografisch is gedistribueerd.

Verklaring: Sleutels worden opgeslagen in een kluis en indien nodig aangeroepen door een URI.

SaaS-ontwikkelaar (Software as a Service)

Probleem: Ik wil niet de verantwoordelijkheid of mogelijke aansprakelijkheid voor de sleutels en geheimen van mijn klant. Ik wil dat klanten hun sleutels bezitten en beheren, zodat ik me kan concentreren op het doen waar ik het beste in ben, namelijk het leveren van de belangrijkste softwarefuncties.

Verklaring: Klanten kunnen hun eigen sleutels importeren en beheren in Azure Stack Hub.

Chief Security Officer (CSO)

Probleem: Ik wil er zeker van zijn dat mijn organisatie controle heeft over de levenscyclus van de sleutel en het sleutelgebruik kan bewaken.

Instructie: Key Vault is zo ontworpen dat Microsoft uw sleutels niet kan zien of extraheren. Wanneer een app cryptografische bewerkingen moet uitvoeren met behulp van klantsleutels, gebruikt Key Vault de sleutels namens de app. De app ziet de klantsleutels niet. Hoewel we meerdere Azure Stack Hub-services en -resources gebruiken, kunt u de sleutels beheren vanaf één locatie in Azure Stack Hub. De kluis biedt één interface, ongeacht hoeveel kluizen u in Azure Stack Hub hebt, welke regio's ze ondersteunen en welke apps ze gebruiken.

Volgende stappen