Informacje o usłudze Azure Key Vault

Usługa Azure Key Vault jest jednym z kilku kluczowych rozwiązań do zarządzania na platformie Azure i pomaga rozwiązać następujące problemy:

• Zarządzanie wpisami tajnymi — usługa Azure Key Vault może służyć do bezpiecznego przechowywania i ścisłego kontrolowania dostępu do tokenów, haseł, certyfikatów, kluczy interfejsu API i innych wpisów tajnych.
• Zarządzanie kluczami — usługa Azure Key Vault może służyć jako rozwiązanie do zarządzania kluczami. Usługa Azure Key Vault ułatwia tworzenie i kontrolowanie kluczy szyfrowania używanych do szyfrowania danych.
• Zarządzanie certyfikatami — usługa Azure Key Vault pozwala łatwo aprowizować i wdrażać certyfikaty zabezpieczeń i protokołu TLS/SSL (public and private Transport Layer Security/Secure Sockets Layer) do użytku z platformą Azure i wewnętrznymi połączonymi zasobami oraz zarządzać nimi.

Usługa Azure Key Vault ma dwie warstwy usług: Standardowa, która szyfruje kluczem oprogramowania, oraz warstwę Premium, która obejmuje klucze chronione przez sprzętowy moduł zabezpieczeń (HSM). Aby wyświetlić porównanie warstw Standardowa i Premium, zobacz stronę cennika usługi Azure Key Vault.

Uwaga

Zero Trust to strategia zabezpieczeń obejmująca trzy zasady: "Weryfikuj jawnie", "Użyj dostępu z najmniejszymi uprawnieniami" i "Przyjmij naruszenie". Ochrona danych, w tym zarządzanie kluczami, obsługuje zasadę dostępu z najniższymi uprawnieniami. Aby uzyskać więcej informacji, zobacz Co to jest Zero Trust?

Jakie są zalety korzystania z usługi Azure Key Vault?

Scentralizowana obsługa wpisów tajnych aplikacji

Centralny magazyn wpisów tajnych aplikacji w usłudze Azure Key Vault umożliwia kontrolowanie ich dystrybucji. Usługa Key Vault znacznie ogranicza prawdopodobieństwo przypadkowego ujawnienia wpisów tajnych. Gdy deweloperzy aplikacji używają Key Vault, nie muszą już przechowywać informacji o zabezpieczeniach w swojej aplikacji. Ponieważ nie trzeba już przechowywać informacji o zabezpieczeniach w aplikacjach, nie ma potrzeby używania tych informacji w kodzie. Na przykład aplikacja może potrzebować połączenia z bazą danych. Zamiast przechowywać parametry połączenia w kodzie aplikacji można je przechowywać bezpiecznie w usłudze Key Vault.

Twoje aplikacje mogą bezpiecznie uzyskiwać dostęp do potrzebnych informacji za pomocą identyfikatorów URI. Te identyfikatory URI umożliwiają aplikacjom pobranie określonych wersji wpisu tajnego. Nie ma potrzeby pisania kodu niestandardowego w celu ochrony żadnych informacji tajnych przechowywanych w Key Vault.

Bezpieczne przechowywanie wpisów tajnych i kluczy

Udzielenie dostępu do magazynu kluczy wywołującemu użytkownikowi lub aplikacji wymaga odpowiedniego uwierzytelnienia i autoryzacji. Uwierzytelnianie ustanawia tożsamość obiektu wywołującego, a autoryzacja określa operacje, które mogą wykonywać.

Uwierzytelnianie jest wykonywane za pośrednictwem usługi Azure Active Directory. Autoryzacja może odbywać się za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure lub zasad dostępu Key Vault. Kontrola dostępu oparta na rolach platformy Azure może służyć zarówno do zarządzania magazynami, jak i uzyskiwania dostępu do danych przechowywanych w magazynie, podczas gdy zasady dostępu do magazynu kluczy mogą być używane tylko podczas próby uzyskania dostępu do danych przechowywanych w magazynie.

Usługa Azure Key Vault może być chroniona przez oprogramowanie lub z usługą Azure Key Vault w warstwie Premium, chronioną sprzętowo przez sprzętowe moduły zabezpieczeń (HSM). Klucze chronione przez oprogramowanie, wpisy tajne i certyfikaty są chronione przez platformę Azure przy użyciu standardowych algorytmów branżowych i długości kluczy. W sytuacjach, w których wymagana jest dodatkowa pewność, można zaimportować lub wygenerować klucze w modułach HSM, które nigdy nie opuszczają granicy modułu HSM. Usługa Azure Key Vault używa modułów HSM szyfrowania nCipher, które są zweryfikowane za pomocą federalnych standardów przetwarzania informacji (FIPS) 140–2 poziom 2. Za pomocą narzędzi nCipher można przenieść klucz z modułu HSM do usługi Azure Key Vault.

Na koniec usługa Azure Key Vault została zaprojektowana tak, aby firma Microsoft nie widziała ani nie wyodrębniała danych.

Monitorowanie dostępu i użycia

Po utworzeniu kilku magazynów kluczy warto monitorować sposób i czas uzyskiwania dostępu do kluczy i wpisów tajnych. Działanie można monitorować przez włączenie rejestrowania dla magazynów. Usługę Azure Key Vault można skonfigurować w następujących celach:

• Archiwizowanie na koncie magazynu.
• Przesyłanie strumieniowe do centrum zdarzeń.
• Wyślij dzienniki do dzienników usługi Azure Monitor.

Kontrolujesz dzienniki i możesz je zabezpieczyć przez ograniczenie dostępu, a także możesz usunąć dzienniki, które nie są już potrzebne.

Uproszczone administrowanie wpisami tajnymi aplikacji

W przypadku przechowywania cennych danych należy wykonać kilka czynności. Informacje zabezpieczające muszą być zabezpieczone, muszą być zgodne z cyklem życia i muszą być wysoce dostępne. Usługa Azure Key Vault upraszcza proces spełnienia tych wymagań przez:

• Usuwanie konieczności posiadania wewnętrznej wiedzy na temat sprzętowych modułów zabezpieczeń.
• Skalowanie w górę z krótkim wyprzedzeniem w celu spełnienia skoków użycia organizacji.
• Replikowanie zawartości usługi Key Vault w regionie do regionu pomocniczego. Replikacja danych zapewnia wysoką dostępność i eliminuje konieczność wykonywania jakichkolwiek czynności przez administratora w celu wyzwolenia trybu failover.
• Udostępnianie standardowych opcji administrowania platformą Azure za pośrednictwem portalu, interfejsu wiersza polecenia platformy Azure i programu PowerShell.
• Zautomatyzowanie pewnych zadań związanych z certyfikatami kupowanymi od publicznych urzędów certyfikacji, na przykład ich rejestracji i odnawiania.

Usługa Azure Key Vault umożliwia także rozdzielenie wpisów tajnych aplikacji. Aplikacje mogą uzyskiwać dostęp tylko do magazynu, do którego mogą uzyskiwać dostęp, i mogą być ograniczone tylko do wykonywania określonych operacji. Istnieje możliwość utworzenia usługi Azure Key Vault dla aplikacji i ograniczenia użycia wpisów tajnych przechowywanych w usłudze Key Vault do konkretnej aplikacji i konkretnego zespołu deweloperów.

Integracja z innymi usługami platformy Azure

Jako bezpieczny magazyn na platformie Azure usługa Key Vault jest używana do upraszczania takich scenariuszy jak:

• Usługa Azure Disk Encryption
• Funkcja always encrypted i Transparent Data Encryption w programie SQL Server i usłudze Azure SQL Database
• Azure App Service.

Samą usługę Key Vault można zintegrować z kontami magazynu, centrami zdarzeń i analizą dzienników.

Następne kroki

• Zarządzanie kluczami na platformie Azure
• Dowiedz się więcej o kluczach, wpisach tajnych i certyfikatach
• Szybki start: tworzenie usługi Azure Key Vault przy użyciu interfejsu wiersza polecenia
• Uwierzytelnianie, żądania i odpowiedzi
• Co to jest Zero Trust?