Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure Key Vault to usługa w chmurze do bezpiecznego przechowywania i uzyskiwania dostępu do tajemnic. Wpis tajny to wszystko, do czego chcesz ściśle kontrolować dostęp, na przykład klucze interfejsu API, hasła, certyfikaty lub klucze kryptograficzne. Usługa Key Vault obsługuje dwa typy kontenerów: magazyny i zarządzane pule modułów zabezpieczeń sprzętu (HSM). Magazyny obsługują przechowywanie kluczy opartych na oprogramowaniu i modułach HSM, a także wpisów tajnych i certyfikatów. Zarządzane pule HSM obsługują tylko klucze wspierane modułem HSM. Aby uzyskać szczegółowe informacje, zobacz Omówienie interfejsu API REST usługi Azure Key Vault.
Oto inne ważne terminy:
Najemca: Najemca to organizacja, która jest właścicielem i zarządza konkretnym wystąpieniem usług Microsoft w chmurze. Najczęściej jest używany do odwoływania się do zestawu usług platformy Azure i platformy Microsoft 365 dla organizacji.
Właściciel skrytki — właściciel skrytki może utworzyć skrytkę na klucze, posiada pełny dostęp i kontrolę nad nią. Właściciel magazynu może też ustawić audyt, aby rejestrować, kto uzyskuje dostęp do tajemnic i kluczy. administratorzy mogą kontrolować cykl życia klucza. Mogą oni wdrażać nowe wersje klucza, tworzyć jego kopie zapasowe i wykonywać powiązane zadania.
Użytkownik magazynu — użytkownik magazynu może wykonywać akcje na zasobach wewnątrz magazynu kluczy, jeśli właściciel magazynu udzieli mu dostępu. Dostępne akcje zależą od przyznanych uprawnień.
Administratorzy zarządzanego modułu HSM: użytkownicy, którym przypisano rolę Administrator, mają pełną kontrolę nad zarządzaną pulą modułów HSM. Mogą tworzyć więcej przypisań ról, aby delegować kontrolowany dostęp do innych użytkowników.
Zarządzany oficer kryptograficzny/użytkownik modułu HSM: wbudowane role, które są zwykle przypisywane do użytkowników lub jednostek usługi, które będą wykonywać operacje kryptograficzne przy użyciu kluczy w zarządzanym module HSM. Użytkownik kryptograficzny może tworzyć nowe klucze, ale nie może usuwać kluczy.
Zarządzany użytkownik szyfrowania usługi kryptograficznej HSM: wbudowana rola, która jest zwykle przypisywana do tożsamości usługi zarządzanej kont usług (na przykład konta magazynu) na potrzeby szyfrowania danych magazynowanych przy użyciu klucza zarządzanego przez klienta.
Zasób — zasób to dostępny za pośrednictwem platformy Azure element, którym można zarządzać. Typowe przykłady to maszyna wirtualna, konto magazynu, aplikacja internetowa, baza danych i sieć wirtualna. Jest o wiele więcej.
Grupa zasobów — grupa zasobów to kontener, który zawiera powiązane zasoby dla rozwiązania platformy Azure. Grupa zasobów może zawierać wszystkie zasoby rozwiązania lub tylko te zasoby, którymi chcesz zarządzać jako grupa. Użytkownik decyduje o sposobie przydziału zasobów do grup zasobów pod kątem tego, co jest najbardziej odpowiednie dla danej organizacji.
Podmiot zabezpieczeń: Podmiot zabezpieczeń platformy Azure to tożsamość zabezpieczeń, która służy do uzyskiwania dostępu do określonych zasobów platformy Azure utworzonych przez użytkownika aplikacji, usług i narzędzi automatyzacji. Należy traktować ją jako "tożsamość użytkownika" (nazwę użytkownika i hasło lub certyfikat) z określoną rolą i ściśle kontrolowane uprawnienia. Podmiot zabezpieczeń powinien wykonywać tylko określone czynności, w przeciwieństwie do ogólnej tożsamości użytkownika. Zwiększa bezpieczeństwo, jeśli przyznasz mu tylko minimalny poziom uprawnień, który musi wykonywać zadania zarządzania. Jednostka zabezpieczeń używana z aplikacją lub usługą jest nazywana jednostką usługi.
Microsoft Entra ID: Microsoft Entra ID to usługa Active Directory dla dzierżawy. Każdy katalog ma co najmniej jedną domenę. Katalog może mieć wiele powiązanych subskrypcji, ale tylko jednego najemcę.
Identyfikator dzierżawy platformy Azure: Identyfikator dzierżawy to unikatowy sposób identyfikacji usługi Microsoft Entra w ramach subskrypcji platformy Azure.
Zarządzane tożsamości: usługa Azure Key Vault umożliwia bezpieczne przechowywanie poświadczeń oraz innych kluczy i sekretów, ale Twój kod musi się uwierzytelnić w Azure Key Vault, aby je pobrać. Użycie tożsamości zarządzanej sprawia, że rozwiązanie tego problemu jest prostsze, udostępniając usługom platformy Azure automatycznie zarządzaną tożsamość w identyfikatorze Entra firmy Microsoft. Tej tożsamości można użyć do uwierzytelniania w usłudze Key Vault lub dowolnej usłudze obsługującej uwierzytelnianie firmy Microsoft Entra bez konieczności posiadania poświadczeń w kodzie. Aby uzyskać więcej informacji, zobacz poniższą ilustrację i omówienie tożsamości zarządzanych dla zasobów platformy Azure.
Uwierzytelnianie
Aby wykonać wszystkie operacje w usłudze Key Vault, należy najpierw przeprowadzić jego uwierzytelnianie. Istnieją trzy sposoby uwierzytelniania w usłudze Key Vault:
- tożsamości zarządzane dla zasobów platformy Azure: podczas wdrażania aplikacji na maszynie wirtualnej na platformie Azure można przypisać tożsamość do maszyny wirtualnej, która ma dostęp do usługi Key Vault. Tożsamości można również przypisywać do innych zasobów platformy Azure. Zaletą tego podejścia jest to, że aplikacja lub usługa nie zarządza rotacją tajnego klucza. Platforma Azure automatycznie rotuje tożsamość. Zalecamy takie podejście jako najlepsze rozwiązanie.
- Główna usługa i certyfikat: możesz użyć głównej usługi i powiązanego certyfikatu, który ma dostęp do Key Vault. Nie zalecamy tego podejścia, ponieważ właściciel aplikacji lub deweloper musi wymienić certyfikat.
- główny użytkownik usługi i klucz tajny: Chociaż można użyć głównego użytkownika usługi i klucza tajnego do uwierzytelniania w Key Vault, nie zalecamy tego rozwiązania. Trudno jest automatycznie obrócić tajemnicę bootstrap używaną do uwierzytelniania w Key Vault.
Szyfrowanie przesyłanych danych
Usługa Azure Key Vault wymusza protokół Transport Layer Security (TLS) w celu ochrony danych podczas podróży między usługą Azure Key Vault i klientami. Klienci negocjują połączenie TLS z usługą Azure Key Vault. Protokół TLS zapewnia silne uwierzytelnianie, prywatność wiadomości i integralność (umożliwia wykrywanie naruszenia, przechwytywania i fałszowania komunikatów), współdziałanie, elastyczność algorytmu oraz łatwość wdrażania i używania.
Perfect Forward Secrecy (PFS) chroni połączenia między systemami klienckimi klientów i usługami firmy Microsoft w chmurze za pomocą unikatowych kluczy. Połączenia używają również 2048-bitowych długości kluczy szyfrowania opartych na protokole RSA. Ta kombinacja utrudnia komuś przechwytywanie i uzyskiwanie dostępu do danych przesyłanych.
Role usługi Key Vault
Użyj poniższej tabeli, aby lepiej zrozumieć, w jaki sposób usługa Key Vault może pomóc deweloperom i administratorom zabezpieczeń w spełnianiu ich potrzeb.
Role | Opis problemu | Rozwiązanie usługi Azure Key Vault |
---|---|---|
Deweloper aplikacji platformy Azure | "Chcę napisać aplikację dla platformy Azure, która używa kluczy do podpisywania i szyfrowania. Chcę jednak, aby te klucze były zewnętrzne od mojej aplikacji, aby rozwiązanie było odpowiednie dla aplikacji rozproszonej geograficznie. Chcę także, aby klucze i wpisy tajne były chronione, ale bez konieczności samodzielnego pisania kodu. Chcę również, aby te klucze i sekrety były dla mnie łatwe do użycia w moich aplikacjach z optymalną wydajnością. |
Klucze są przechowywane w magazynie i są wywoływane na żądanie poprzez identyfikator URI. √ Klucze są chronione przez platformę Azure przy użyciu algorytmów zgodnych z branżowymi standardami, odpowiedniej długości kluczy oraz sprzętowych modułów bezpieczeństwa (HSM). √ Klucze są przetwarzane w modułach HSM, które znajdują się w tych samych centrach danych platformy Azure co aplikacje. Ta metoda zapewnia większą niezawodność i mniejsze opóźnienia niż klucze przechowywane w osobnej lokalizacji, na przykład lokalnie. |
Deweloper oprogramowania jako usługi (SaaS) | "Nie chcę odpowiedzialności ani potencjalnej odpowiedzialności za klucze dzierżawy i wpisy tajne moich klientów. Chcę, aby klienci posiadali swoje klucze i zarządzali nimi, aby mogli skoncentrować się na wykonywaniu tego, co robię najlepiej, co zapewnia podstawowe funkcje oprogramowania. |
√ Klienci mogą importować własne klucze do platformy Azure i zarządzać nimi. Gdy aplikacja SaaS musi wykonywać operacje kryptograficzne przy użyciu kluczy klientów, usługa Key Vault wykonuje te operacje w imieniu aplikacji. Aplikacja nie widzi kluczy klientów. |
główny dyrektor ds. bezpieczeństwa (CSO) | "Chcę wiedzieć, że nasze aplikacje są zgodne z modułami HSM fiPS 140 level 3 na potrzeby bezpiecznego zarządzania kluczami. Chcę się upewnić, że moja organizacja kontroluje cykl życia klucza i monitoruje jego użycie. Mimo że używamy wielu usług i zasobów platformy Azure, chcę zarządzać kluczami z jednej lokalizacji na platformie Azure. |
√ Wybierz skarbce lub zarządzane moduły HSM dla modułów HSM zgodnych z FIPS 140. √ Wybierz zarządzane pule HSM dla zweryfikowanych modułów HSM FIPS 140-2 poziom 3. √ Usługa Key Vault jest zaprojektowana w taki sposób, aby firma Microsoft nie miała wglądu w Twoje klucze ani nie mogła ich wyodrębnić. √ Użycie klucza jest rejestrowane w czasie niemal rzeczywistym. √ Skarbiec zapewnia jeden interfejs, niezależnie od tego, ile skarbców masz na platformie Azure, obsługiwane regiony oraz które aplikacje z nich korzystają. |
Każdy posiadacz subskrypcji Azure może tworzyć magazyny kluczy i z nich korzystać. Mimo że usługa Key Vault zapewnia korzyści deweloperom i administratorom zabezpieczeń, może być implementowana i zarządzana przez administratora organizacji, który zarządza innymi usługami platformy Azure. Na przykład ten administrator może zalogować się przy użyciu subskrypcji platformy Azure, utworzyć magazyn dla organizacji, w której będą przechowywane klucze, a następnie być odpowiedzialny za zadania operacyjne, takie jak:
- Tworzenie lub importowanie klucza lub klucza tajnego
- Odwołać lub usunąć klucz lub tajemnicę
- Zezwalanie użytkownikom lub aplikacjom na dostęp do magazynu kluczy, aby mogli zarządzać kluczami i kluczami tajnymi lub używać ich
- Konfigurowanie użycia klucza (na przykład rejestrowanie lub szyfrowanie)
- Monitorowanie użycia klucza
Następnie administrator udostępnia deweloperom identyfikatory URI do wywoływania z aplikacji. Ten administrator udostępnia również administratorowi zabezpieczeń informacje o rejestrowaniu użycia klucza.
Omówienie działania usługi Azure Key Vault
Deweloperzy mogą również zarządzać kluczami bezpośrednio za pomocą interfejsów API. Aby uzyskać więcej informacji, zobacz artykuł Przewodnik dewelopera usługi Key Vault.
Dalsze kroki
- Dowiedz się więcej o funkcjach zabezpieczeń usługi Azure Key Vault.
- Dowiedz się, jak zabezpieczyć zarządzane pule modułów HSM
Usługa Azure Key Vault jest dostępna w większości regionów. Aby uzyskać więcej informacji, zobacz stronę Cennik usługi Key Vault.