Info over Azure Key Vault
Azure Key Vault is een van de verschillende oplossingen voor sleutelbeheer in Azure en helpt de volgende problemen op te lossen:
- Geheimenbeheer - Met Azure Key Vault kunt u veilig de toegang tot tokens, wachtwoorden, certificaten, API-sleutels en andere geheimen opslaan en strikt beheren
- Sleutelbeheer : Azure Key Vault kan worden gebruikt als een oplossing voor sleutelbeheer. Met Azure Key Vault kunt u eenvoudig de versleutelingssleutels maken en beheren waarmee uw gegevens worden versleuteld.
- Certificaatbeheer - Met Azure Key Vault kunt u eenvoudig openbare en persoonlijke Tls/SSL-certificaten (Transport Layer Security/Secure Sockets Layer) inrichten, beheren en implementeren voor gebruik met Azure en uw interne verbonden resources.
Azure Key Vault heeft twee servicelagen: Standard, die wordt versleuteld met een softwaresleutel en een Premium-laag, die hardwarebeveiligingsmodule(HSM)-beveiligde sleutels bevat. Als u een vergelijking tussen de lagen Standard en Premium wilt zien, raadpleegt u de pagina met prijzen voor Azure Key Vault.
Notitie
Zero Trust is een beveiligingsstrategie die bestaat uit drie principes: 'Expliciet verifiëren', 'Minimale toegang tot bevoegdheden gebruiken' en 'Inbreuk aannemen'. Gegevensbeveiliging, inclusief sleutelbeheer, ondersteunt het principe 'toegang tot minimale bevoegdheden gebruiken'. Zie Wat is Zero Trust?
Waarom zou ik Azure Key Vault gebruiken?
Toepassingsgeheimen centraliseren
Door de opslag van toepassingsgeheimen te centraliseren in Azure Key Vault kunt u de verdeling ervan bepalen. Key Vault vermindert de kans dat geheimen per ongeluk worden gelekt aanzienlijk. Wanneer ontwikkelaars van toepassingen Key Vault gebruiken, hoeven ze geen beveiligingsgegevens meer op te slaan in hun toepassing. Doordat u geen beveiligingsinformatie in toepassingen hoeft op te slaan elimineert u de noodzaak om deze informatie onderdeel van de code te maken. Een toepassing wil bijvoorbeeld verbinding maken met een database. In plaats van de verbindingsreeks op te slaan in de code van de app, kunt u deze veilig bewaren in Key Vault.
Met behulp van URI's hebben uw toepassingen veilig toegang tot de benodigde gegevens. Met deze URI's kunnen de toepassingen specifieke versies van een geheim ophalen. U hoeft geen aangepaste code te schrijven om de geheime gegevens te beveiligen die zijn opgeslagen in Key Vault.
Geheimen en sleutels veilig opslaan
Voor toegang tot een sleutelkluis is de juiste verificatie en autorisatie vereist voordat een aanroeper (gebruiker of toepassing) toegang kan krijgen. Met verificatie wordt de identiteit van de aanroeper vastgesteld, terwijl autorisatie bepaalt welke bewerkingen ze mogen uitvoeren.
Verificatie wordt uitgevoerd via Microsoft Entra-id. Autorisatie kan worden uitgevoerd via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) of Key Vault-toegangsbeleid. Azure RBAC kan worden gebruikt voor zowel het beheer van de kluizen als voor toegang tot gegevens die zijn opgeslagen in een kluis, terwijl toegangsbeleid voor key vault alleen kan worden gebruikt wanneer u toegang probeert te krijgen tot gegevens die zijn opgeslagen in een kluis.
Azure-sleutelkluizen worden in rust versleuteld met een sleutel die is opgeslagen in HSM's (Hardware Security Modules). Azure beschermt sleutels, geheimen en certificaten met behulp van industriestandaard algoritmen, sleutellengten en cryptografische softwaremodules. Voor extra zekerheid kunt u sleutels genereren of importeren in HSM's (type RSA-HSM, EC-HSM of OCT-HSM) die nooit de HSM-grens verlaten. Azure Key Vault maakt gebruik van Federal Information Processing Standard 140 gevalideerde cryptografische softwaremodules en HSM's.
Ten slotte is Azure Key Vault zo ontworpen dat Microsoft uw gegevens niet ziet of extraheert.
Toegang tot en gebruik van controles
Zodra u een aantal Key Vaults hebt gemaakt, wilt u controleren hoe en wanneer uw sleutels en geheimen worden geopend. U kunt de activiteit controleren door logboekregistratie voor uw kluizen in te schakelen. U kunt Azure Key Vault voor het volgende configureren:
- Archiveren in een opslagaccount.
- Streamen naar een Event Hub.
- De logboeken verzenden naar logboeken van Azure Monitor.
U hebt de controle over uw logboeken en kunt ze beveiligen door de toegang te beperken. Bovendien kunt u logboeken verwijderen die u niet meer nodig hebt.
Vereenvoudigd beheer van toepassingsgeheimen
Bij het opslaan van waardevolle gegevens moet u verschillende stappen uitvoeren. Beveiligingsinformatie moet worden beschermd, moet een bepaalde levenscyclus volgen en moet maximaal beschikbaar zijn. Met Azure Key Vault vereenvoudigt u het proces om aan deze vereisten te voldoen door:
- Het wegnemen van de noodzaak tot interne kennis van Hardware Security Modules.
- Het op korte termijn omhoog schalen om de gebruikspieken van uw organisatie aan te kunnen.
- Het repliceren van de inhoud van uw Key Vault binnen een regio en naar een secundaire regio. Gegevensreplicatie zorgt voor een maximale beschikbaarheid en de beheerder hoeft geen actie te ondernemen om de failover te activeren.
- Het bieden van standaard Azure-beheeropties via de portal, Azure CLI en PowerShell.
- Het automatiseren van bepaalde taken voor certificaten die u aanschaft bij openbare CA's, zoals registreren en verlengen.
Bovendien kunt u met sleutelkluizen van Azure toepassingsgeheimen van elkaar scheiden. Toepassingen hebben alleen toegang tot de kluis waartoe ze toegang hebben en kunnen worden beperkt tot het uitvoeren van specifieke bewerkingen. U kunt een Azure-sleutelkluis per toepassing maken en de geheimen die in een bepaalde sluitelkleus zijn opgeslagen beperken tot een specifieke toepassing en team van ontwikkelaars.
Integreren met andere Azure-services
Key Vault wordt in Azure gebruikt als beveiligd archief om scenario's te vereenvoudigen, zoals:
- Azure Disk Encryption
- De functionaliteit altijd versleuteld en Transparent Data Encryption in SQL-server en Azure SQL Database
- Azure App Service.
Key Vault zelf kan worden geïntegreerd met opslagaccounts, Event Hubs en logboekanalyses.