Podstawowe pojęcia dotyczące usługi Azure Key Vault
Azure Key Vault to usługa w chmurze do bezpiecznego przechowywania wpisów tajnych i uzyskiwania do ich dostępu. Wpis tajny to wszystko, do czego chcesz ściśle kontrolować dostęp, na przykład klucze interfejsu API, hasła, certyfikaty lub klucze kryptograficzne. usługa Key Vault obsługuje dwa typy kontenerów: magazyny i zarządzane pule modułów zabezpieczeń sprzętu (HSM). Magazyny obsługują przechowywanie kluczy, wpisów tajnych i certyfikatów opartych na oprogramowaniu i module HSM. Zarządzane pule modułów HSM obsługują tylko klucze oparte na module HSM. Aby uzyskać szczegółowe informacje, zobacz Omówienie interfejsu API REST usługi Azure Key Vault.
Oto inne ważne terminy:
Dzierżawa — dzierżawa to organizacja, która jest właścicielem konkretnego wystąpienia usług firmy Microsoft w chmurze i zarządza nim. Najczęściej jest używany do odwoływania się do zestawu usług platformy Azure i platformy Microsoft 365 dla organizacji.
Właściciel magazynu — właściciel magazynu może utworzyć magazyn kluczy, ma do niego pełny dostęp i kontrolę nad nim. Właściciel magazynu może też skonfigurować inspekcję, aby rejestrować, kto uzyskuje dostęp do wpisów tajnych i kluczy. Administratorzy mogą kontrolować cykl życia klucza. Mogą oni wdrażać nowe wersje klucza, tworzyć jego kopie zapasowe i wykonywać powiązane zadania.
Użytkownik magazynu — użytkownik magazynu może wykonywać akcje na zasobach wewnątrz magazynu kluczy, jeśli właściciel magazynu udzieli mu dostępu. Dostępne akcje zależą od przyznanych uprawnień.
Administratorzy zarządzanego modułu HSM: użytkownicy, którym przypisano rolę administratora, mają pełną kontrolę nad zarządzaną pulą modułów HSM. Mogą tworzyć więcej przypisań ról w celu delegowania kontrolowanego dostępu do innych użytkowników.
Zarządzany oficer kryptograficzny/użytkownik modułu HSM: wbudowane role, które są zwykle przypisywane do użytkowników lub jednostek usługi, które będą wykonywać operacje kryptograficzne przy użyciu kluczy w zarządzanym module HSM. Użytkownik kryptograficzny może tworzyć nowe klucze, ale nie może usuwać kluczy.
Zarządzany użytkownik szyfrowania usługi kryptograficznej HSM: wbudowana rola, która jest zwykle przypisywana do tożsamości usługi zarządzanej przez konta usług (na przykład konta magazynu) na potrzeby szyfrowania danych magazynowanych przy użyciu klucza zarządzanego przez klienta.
Zasób — zasób to dostępny za pośrednictwem platformy Azure element, którym można zarządzać. Typowe przykłady to maszyna wirtualna, konto magazynu, aplikacja internetowa, baza danych i sieć wirtualna. Jest ich o wiele więcej.
Grupa zasobów — grupa zasobów to kontener, który zawiera powiązane zasoby dla rozwiązania platformy Azure. Grupa zasobów może zawierać wszystkie zasoby dla rozwiązania lub tylko te zasoby, które mają być zarządzane jako grupa. Użytkownik decyduje o sposobie przydziału zasobów do grup zasobów pod kątem tego, co jest najbardziej odpowiednie dla danej organizacji.
Podmiot zabezpieczeń: Podmiot zabezpieczeń platformy Azure jest tożsamością zabezpieczeń, która służy do uzyskiwania dostępu do określonych zasobów platformy Azure za pomocą aplikacji, usług i narzędzi automatyzacji utworzonych przez użytkownika. Można go traktować jako "tożsamość użytkownika" (nazwę użytkownika i hasło lub certyfikat) z określoną rolą i ściśle kontrolowane uprawnienia. Podmiot zabezpieczeń powinien wykonywać tylko określone czynności, w przeciwieństwie do ogólnej tożsamości użytkownika. Zwiększa bezpieczeństwo, jeśli przyznasz mu tylko minimalny poziom uprawnień, którego potrzebuje do wykonywania zadań zarządzania. Jednostka zabezpieczeń używana z aplikacją lub usługą jest nazywana jednostką usługi.
Azure Active Directory (Azure AD): Azure AD to usługa Active Directory dla dzierżawy. Każdy katalog ma co najmniej jedną domenę. Katalog może mieć wiele skojarzonych subskrypcji, ale tylko jedną dzierżawę.
Identyfikator dzierżawy Azure — identyfikator dzierżawy to unikatowy sposób identyfikacji wystąpienia usługi Azure AD w ramach subskrypcji platformy Azure.
Tożsamości zarządzane: usługa Azure Key Vault umożliwia bezpieczne przechowywanie poświadczeń i innych kluczy i wpisów tajnych, ale kod musi uwierzytelniać się w celu Key Vault ich pobierania. Użycie tożsamości zarządzanej upraszcza rozwiązywanie tego problemu, udostępniając usługom platformy Azure automatycznie zarządzaną tożsamość w Azure AD. Za pomocą tej tożsamości można uwierzytelnić się w usłudze Key Vault lub dowolnej innej usłudze obsługującej uwierzytelnianie usługi Azure AD bez konieczności przechowywania poświadczeń w kodzie. Aby uzyskać więcej informacji, zobacz poniższą ilustrację i omówienie tożsamości zarządzanych dla zasobów platformy Azure.
Authentication
Aby wykonać wszystkie operacje za pomocą Key Vault, najpierw musisz się do niego uwierzytelnić. Istnieją trzy sposoby uwierzytelniania w Key Vault:
- Tożsamości zarządzane dla zasobów platformy Azure: podczas wdrażania aplikacji na maszynie wirtualnej na platformie Azure można przypisać tożsamość do maszyny wirtualnej, która ma dostęp do Key Vault. Tożsamości można również przypisać do innych zasobów platformy Azure. Zaletą tego podejścia jest to, że aplikacja lub usługa nie zarządza rotacją pierwszego wpisu tajnego. Platforma Azure automatycznie obraca tożsamość. Zalecamy takie podejście jako najlepsze rozwiązanie.
- Jednostka usługi i certyfikat: możesz użyć jednostki usługi i skojarzonego certyfikatu, który ma dostęp do Key Vault. Nie zalecamy takiego podejścia, ponieważ właściciel aplikacji lub deweloper musi wymienić certyfikat.
- Jednostka usługi i wpis tajny: mimo że do uwierzytelniania w Key Vault można użyć jednostki usługi i wpisu tajnego, nie zalecamy go. Trudno jest automatycznie obrócić wpis tajny bootstrap używany do uwierzytelniania w Key Vault.
Szyfrowanie przesyłanych danych
Usługa Azure Key Vault wymusza protokół Transport Layer Security (TLS) w celu ochrony danych podczas podróży między usługą Azure Key Vault i klientami. Klienci negocjują połączenie TLS z usługą Azure Key Vault. Protokół TLS zapewnia silne uwierzytelnianie, prywatność wiadomości i integralność (umożliwia wykrywanie naruszenia, przechwytywania i fałszowania komunikatów), współdziałanie, elastyczność algorytmu oraz łatwość wdrażania i używania.
Perfect Forward Secrecy (PFS) chroni połączenia między systemami klienckimi klientów i usługami w chmurze firmy Microsoft za pomocą unikatowych kluczy. Połączenia korzystają również z 2048-bitowych długości kluczy szyfrowania opartych na protokole RSA. Ta kombinacja utrudnia komuś przechwytywanie i uzyskiwanie dostępu do danych przesyłanych.
Role usługi Key Vault
Użyj poniższej tabeli, aby lepiej zrozumieć, w jaki sposób usługa Key Vault może pomóc deweloperom i administratorom zabezpieczeń w spełnianiu ich potrzeb.
| Rola | Opis problemu | Rozwiązanie usługi Azure Key Vault |
|---|---|---|
| Deweloper aplikacji platformy Azure | "Chcę napisać aplikację dla platformy Azure, która używa kluczy do podpisywania i szyfrowania. Chcę jednak, aby te klucze były zewnętrzne od mojej aplikacji, aby rozwiązanie było odpowiednie dla aplikacji rozproszonej geograficznie. Chcę także, aby klucze i wpisy tajne były chronione, ale bez konieczności samodzielnego pisania kodu. Chcę również, aby te klucze i wpisy tajne były dla mnie łatwe do użycia z moich aplikacji z optymalną wydajnością. |
√ Klucze są przechowywane w magazynie i w razie potrzeby wywoływane przez identyfikator URI. √ Klucze są chronione przez platformę Azure przy użyciu branżowych standardów dotyczących algorytmów, długości klucza i sprzętowych modułów zabezpieczeń (HSM, hardware security module). √ Klucze są przetwarzane w modułach HSM, które znajdują się w tych samych centrach danych platformy Azure co aplikacje. Ta metoda zapewnia większą niezawodność i mniejsze opóźnienia niż klucze przechowywane w osobnej lokalizacji, na przykład lokalnie. |
| Deweloper oprogramowania jako usługi (SaaS) | "Nie chcę ponosić odpowiedzialności ani potencjalnej odpowiedzialności za klucze dzierżawy i wpisy tajne klientów. Chcę, aby klienci posiadali swoje klucze i zarządzali nimi, aby mogli skupić się na wykonywaniu tego, co robię najlepiej, co zapewnia podstawowe funkcje oprogramowania. |
√ Klienci mogą importować własne klucze do platformy Azure i zarządzać nimi. Gdy aplikacja SaaS musi wykonywać operacje kryptograficzne przy użyciu kluczy klientów, Key Vault wykonuje te operacje w imieniu aplikacji. Aplikacja nie widzi kluczy klientów. |
| Chief Security Officer (CSO) | "Chcę wiedzieć, że nasze aplikacje są zgodne ze standardem FIPS 140-2 Level 2 lub FIPS 140-2 Level 3 HSM na potrzeby bezpiecznego zarządzania kluczami. Chcę się upewnić, że moja organizacja kontroluje cykl życia klucza i monitoruje jego użycie. Mimo że używamy wielu usług i zasobów platformy Azure, chcę zarządzać kluczami z jednej lokalizacji na platformie Azure. |
√ Wybierz magazyny dla zweryfikowanych modułów HSM ze standardem FIPS 140-2 poziom 2. √ wybierz zarządzane pule modułów HSM dla zweryfikowanych modułów HSM fiPS 140-2 poziom 3. √ Usługa Key Vault jest zaprojektowana w taki sposób, aby firma Microsoft nie miała wglądu w Twoje klucze ani nie mogła ich wyodrębnić. √ Użycie klucza jest rejestrowane w czasie niemal rzeczywistym. √ Magazyn zapewnia jeden interfejs, niezależnie od tego, jak wiele magazynów masz na platformie Azure, które regiony są przez nie obsługiwane oraz które aplikacje ich używają. |
Każdy posiadacz subskrypcji Azure może tworzyć magazyny kluczy i z nich korzystać. Mimo że Key Vault korzyści dla deweloperów i administratorów zabezpieczeń, może być wdrażany i zarządzany przez administratora organizacji, który zarządza innymi usługami platformy Azure. Na przykład ten administrator może zalogować się przy użyciu subskrypcji platformy Azure, utworzyć magazyn dla organizacji, w którym będą przechowywane klucze, a następnie być odpowiedzialny za zadania operacyjne, takie jak:
- Tworzenie lub importowanie klucza lub klucza tajnego
- Odwoływanie lub usuwanie klucza lub klucza tajnego
- Zezwalanie użytkownikom lub aplikacjom na dostęp do magazynu kluczy, aby mogli zarządzać kluczami i kluczami tajnymi lub używać ich
- Konfigurowanie użycia klucza (na przykład rejestrowanie lub szyfrowanie)
- Monitorowanie użycia klucza
Ten administrator udostępnia następnie deweloperom identyfikatory URI do wywoływania z aplikacji. Ten administrator udostępnia również administratorowi zabezpieczeń informacje o rejestrowaniu użycia kluczy.
Deweloperzy mogą również zarządzać kluczami bezpośrednio za pomocą interfejsów API. Aby uzyskać więcej informacji, zobacz artykuł Przewodnik dewelopera usługi Key Vault.
Następne kroki
- Dowiedz się więcej o funkcjach zabezpieczeń usługi Azure Key Vault.
- Dowiedz się, jak zabezpieczyć zarządzane pule modułów HSM
Usługa Azure Key Vault jest dostępna w większości regionów. Aby uzyskać więcej informacji, zobacz stronę Cennik usługi Key Vault.