Obsługa wielu dzierżaw i usługa Azure Key Vault
Usługa Azure Key Vault służy do zarządzania bezpiecznymi danymi dla rozwiązania, w tym wpisów tajnych, kluczy szyfrowania i certyfikatów. W tym artykule opisano niektóre funkcje usługi Azure Key Vault, które są przydatne w przypadku rozwiązań wielodostępnych. Następnie udostępniamy linki do wskazówek, które mogą Ci pomóc, podczas planowania sposobu korzystania z usługi Key Vault.
Modele izolacji
Podczas pracy z systemem wielodostępnym przy użyciu usługi Key Vault należy podjąć decyzję o poziomie izolacji, którego chcesz użyć. Wybór używanych modeli izolacji zależy od następujących czynników:
- Ile dzierżaw planujesz mieć?
- Czy udostępniasz warstwę aplikacji między wieloma dzierżawami, czy wdrażasz wystąpienia aplikacji z jedną dzierżawą, czy wdrażasz oddzielne sygnatury wdrożenia dla każdej dzierżawy?
- Czy dzierżawcy muszą zarządzać własnymi kluczami szyfrowania?
- Czy dzierżawy mają wymagania dotyczące zgodności, które wymagają ich wpisów tajnych, są przechowywane oddzielnie od wpisów tajnych innych dzierżaw?
W poniższej tabeli przedstawiono podsumowanie różnic między głównymi modelami dzierżawy usługi Key Vault:
| Kwestie wymagające rozważenia | Magazyn na dzierżawę w subskrypcji dostawcy | Magazyn na dzierżawę w ramach subskrypcji dzierżawy | Magazyn udostępniony |
|---|---|---|---|
| Izolacja danych | Wys. | Bardzo wysoko | Niski |
| Izolacja wydajności | Średnia. Wysoka przepływność może być ograniczona, nawet w przypadku wielu magazynów | Wys. | Niski |
| Złożoność wdrożenia | Niski średni w zależności od liczby dzierżaw | Wysoka. Dzierżawa musi prawidłowo udzielić dostępu do dostawcy | Niski |
| Złożoność operacyjna | Wys. | Niski dla dostawcy, wyższy dla dzierżawy | Najniższe |
| Przykładowy scenariusz | Pojedyncze wystąpienia aplikacji na dzierżawę | Klucze szyfrowania zarządzane przez klienta | Duże rozwiązanie wielodostępne z udostępnioną warstwą aplikacji |
Magazyn na dzierżawę w subskrypcji dostawcy
Możesz rozważyć wdrożenie magazynu dla każdej dzierżawy w ramach subskrypcji platformy Azure (dostawcy usług). Takie podejście zapewnia silną izolację danych między danymi każdej dzierżawy, ale wymaga wdrożenia i zarządzania rosnącą liczbą magazynów w miarę zwiększania liczby dzierżaw.
Nie ma limitu liczby magazynów, które można wdrożyć w subskrypcji platformy Azure. Należy jednak wziąć pod uwagę następujące limity:
- Istnieją limity dla całej subskrypcji dotyczące liczby żądań w danym okresie. Te limity mają zastosowanie niezależnie od liczby magazynów w subskrypcji. Dlatego ważne jest, aby postępować zgodnie z naszymi wskazówkami dotyczącymi ograniczania przepustowości, nawet jeśli masz magazyny specyficzne dla dzierżawy.
- Istnieje limit liczby przypisań ról platformy Azure, które można utworzyć w ramach subskrypcji. Podczas wdrażania i konfigurowania dużej liczby magazynów w ramach subskrypcji możesz zbliżyć się do tych limitów.
Magazyn na dzierżawę w ramach subskrypcji dzierżawy
W niektórych sytuacjach dzierżawy mogą tworzyć magazyny we własnych subskrypcjach platformy Azure i mogą chcieć udzielić aplikacji dostępu do pracy z wpisami tajnymi, certyfikatami lub kluczami. Takie podejście jest odpowiednie w przypadku zezwalania na szyfrowanie kluczy zarządzanych przez klienta (CMKs) w ramach rozwiązania.
Aby uzyskać dostęp do danych w magazynie dzierżawy, dzierżawa musi zapewnić aplikacji dostęp do magazynu. Ten proces wymaga uwierzytelnienia aplikacji za pośrednictwem wystąpienia firmy Microsoft Entra. Jedną z metod jest opublikowanie wielodostępnej aplikacji Firmy Microsoft Entra. Dzierżawcy muszą wykonać jednorazowy proces wyrażania zgody. Najpierw rejestrują wielodostępną aplikację Microsoft Entra we własnej dzierżawie firmy Microsoft Entra. Następnie udzielają wielodostępnej aplikacji Firmy Microsoft Entra odpowiedniego poziomu dostępu do magazynu. Muszą również podać pełny identyfikator zasobu utworzonego przez nich magazynu. Następnie kod aplikacji może użyć jednostki usługi skojarzonej z wielodostępną aplikacją Microsoft Entra we własnym identyfikatorze Microsoft Entra, aby uzyskać dostęp do magazynu każdej dzierżawy.
Alternatywnie możesz poprosić każdą dzierżawę o utworzenie jednostki usługi do użycia i podanie poświadczeń. Jednak takie podejście wymaga bezpiecznego przechowywania poświadczeń i zarządzania nimi dla każdej dzierżawy, co jest potencjalną odpowiedzialnością za zabezpieczenia.
Jeśli dzierżawcy konfigurują mechanizmy kontroli dostępu do sieci w swoich magazynach, upewnij się, że będziesz mieć dostęp do magazynów.
Magazyny udostępnione
Możesz udostępnić wpisy tajne dzierżaw w jednym magazynie. Magazyn jest wdrażany w subskrypcji platformy Azure (dostawcy rozwiązań) i odpowiadasz za zarządzanie nim. Takie podejście jest najprostsze, ale zapewnia najmniejszą izolację danych i izolację wydajności.
Możesz również wdrożyć wiele magazynów udostępnionych. Jeśli na przykład będziesz przestrzegać wzorca sygnatur wdrażania, prawdopodobnie wdrożysz udostępniony magazyn w ramach każdej sygnatury. Podobnie w przypadku wdrożenia rozwiązania z wieloma regionami należy wdrożyć magazyny w każdym regionie z następujących powodów:
- Aby uniknąć opóźnienia ruchu między regionami podczas pracy z danymi w magazynie.
- Aby zapewnić obsługę wymagań dotyczących rezydencji danych.
- Aby umożliwić korzystanie z magazynów regionalnych w innych usługach, które wymagają wdrożeń w tym samym regionie.
Podczas pracy z magazynem udostępnionym należy wziąć pod uwagę liczbę operacji wykonywanych względem magazynu. Operacje obejmują odczytywanie wpisów tajnych i wykonywanie operacji szyfrowania lub odszyfrowywania. Usługa Key Vault nakłada limity liczby żądań , które mogą być wykonywane względem pojedynczego magazynu i wszystkich magazynów w ramach subskrypcji platformy Azure. Upewnij się, że postępuj zgodnie ze wskazówkami dotyczącymi ograniczania przepustowości. Ważne jest, aby postępować zgodnie z zalecanymi rozwiązaniami, w tym bezpieczne buforowanie wpisów tajnych, które pobierasz i używasz szyfrowania kopert, aby uniknąć wysyłania każdej operacji szyfrowania do usługi Key Vault. Korzystając z tych najlepszych rozwiązań, można uruchamiać rozwiązania o dużej skali w jednym magazynie.
Jeśli musisz przechowywać wpisy tajne, klucze lub certyfikaty specyficzne dla dzierżawy, rozważ użycie konwencji nazewnictwa, takiej jak prefiks nazewnictwa. Można na przykład wstępnie przydzielić identyfikator dzierżawy do nazwy każdego wpisu tajnego. Następnie kod aplikacji może łatwo załadować wartość określonego wpisu tajnego dla określonej dzierżawy.
Funkcje usługi Azure Key Vault, które obsługują wielodostępność
Tagi
Usługa Key Vault obsługuje tagowanie wpisów tajnych, certyfikatów i kluczy z niestandardowymi metadanymi, dzięki czemu można użyć tagu do śledzenia identyfikatora dzierżawy dla każdego wpisu tajnego specyficznego dla dzierżawy. Jednak usługa Key Vault nie obsługuje wykonywania zapytań według tagów, dlatego ta funkcja najlepiej nadaje się do celów zarządzania, a nie do użycia w ramach logiki aplikacji.
Więcej informacji:
Obsługa usługi Azure Policy
Jeśli zdecydujesz się wdrożyć dużą liczbę magazynów, ważne jest, aby upewnić się, że są zgodne ze spójnym standardem konfiguracji dostępu do sieci, rejestrowania i kontroli dostępu. Rozważ użycie usługi Azure Policy, aby sprawdzić, czy magazyny zostały skonfigurowane zgodnie z wymaganiami.
Więcej informacji:
- Integrowanie usługi Azure Key Vault z usługą Azure Policy
- Wbudowane definicje usługi Azure Policy dla usługi Key Vault
Zarządzany moduł HSM i dedykowany moduł HSM
Jeśli musisz wykonać dużą liczbę operacji na sekundę, a limity operacji usługi Key Vault są niewystarczające, rozważ użycie zarządzanego modułu HSM lub dedykowanego modułu HSM. Oba produkty zapewniają zarezerwowaną ilość pojemności, ale zwykle są one bardziej kosztowne niż usługa Key Vault. Ponadto należy pamiętać o limitach liczby wystąpień tych usług, które można wdrożyć w każdym regionie.
Więcej informacji:
- Jak mogę zdecydować, czy używać usługi Azure Key Vault, czy dedykowanego modułu HSM platformy Azure?
- Czy dedykowany moduł HSM platformy Azure jest odpowiedni dla Ciebie?
Współautorzy
Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.
Główny autor:
- John Downs | Główny inżynier klienta, fasttrack dla platformy Azure
Inni współautorzy:
- Jack Lichwa | Główny menedżer produktu, usługa Azure Key Vault
- Arsen Vladimirskiy | Główny inżynier klienta, fasttrack dla platformy Azure
Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.
Następne kroki
Przejrzyj metody wdrażania i konfiguracji pod kątem wielodostępności.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla