Informacje o usłudze Azure Key Vault
Usługa Azure Key Vault jest jednym z kilku kluczowych rozwiązań do zarządzania na platformie Azure i pomaga rozwiązać następujące problemy:
- Zarządzanie wpisami tajnymi — usługa Azure Key Vault może służyć do bezpiecznego przechowywania i ścisłego kontrolowania dostępu do tokenów, haseł, certyfikatów, kluczy interfejsu API i innych wpisów tajnych.
- Zarządzanie kluczami — usługa Azure Key Vault może służyć jako rozwiązanie do zarządzania kluczami. Usługa Azure Key Vault ułatwia tworzenie i kontrolowanie kluczy szyfrowania używanych do szyfrowania danych.
- Zarządzanie certyfikatami — usługa Azure Key Vault umożliwia łatwe aprowizowanie i wdrażanie publicznych i prywatnych certyfikatów zabezpieczeń warstwy transportu/protokołu SSL (Secure Sockets Layer) do użytku z platformą Azure i wewnętrznymi połączonymi zasobami.
Usługa Azure Key Vault ma dwie warstwy usług: Standardowa, która szyfruje przy użyciu klucza oprogramowania i warstwę Premium, która obejmuje klucze chronione przez sprzętowy moduł zabezpieczeń (HSM). Aby wyświetlić porównanie warstw Standardowa i Premium, zobacz stronę cennika usługi Azure Key Vault.
Uwaga
Zero Trust to strategia zabezpieczeń obejmująca trzy zasady: "Weryfikuj jawnie", "Użyj dostępu z najmniejszymi uprawnieniami" i "Przyjmij naruszenie". Ochrona danych, w tym zarządzanie kluczami, obsługuje zasadę "najmniej uprzywilejowanego dostępu". Aby uzyskać więcej informacji, zobacz Co to jest zero trust?
Jakie są zalety korzystania z usługi Azure Key Vault?
Scentralizowana obsługa wpisów tajnych aplikacji
Centralny magazyn wpisów tajnych aplikacji w usłudze Azure Key Vault umożliwia kontrolowanie ich dystrybucji. Usługa Key Vault znacznie ogranicza prawdopodobieństwo przypadkowego ujawnienia wpisów tajnych. Gdy deweloperzy aplikacji używają usługi Key Vault, nie muszą już przechowywać informacji zabezpieczających w swojej aplikacji. Ponieważ nie trzeba już przechowywać informacji o zabezpieczeniach w aplikacjach, nie ma potrzeby używania tych informacji w kodzie. Na przykład aplikacja może potrzebować połączenia z bazą danych. Zamiast przechowywać parametry połączenia w kodzie aplikacji można je przechowywać bezpiecznie w usłudze Key Vault.
Twoje aplikacje mogą bezpiecznie uzyskiwać dostęp do potrzebnych informacji za pomocą identyfikatorów URI. Te identyfikatory URI umożliwiają aplikacjom pobranie określonych wersji wpisu tajnego. Nie ma potrzeby pisania kodu niestandardowego w celu ochrony żadnych informacji tajnych przechowywanych w usłudze Key Vault.
Bezpieczne przechowywanie wpisów tajnych i kluczy
Udzielenie dostępu do magazynu kluczy wywołującemu użytkownikowi lub aplikacji wymaga odpowiedniego uwierzytelnienia i autoryzacji. Uwierzytelnianie ustanawia tożsamość obiektu wywołującego, a autoryzacja określa operacje, które mogą wykonywać.
Uwierzytelnianie odbywa się za pośrednictwem identyfikatora Entra firmy Microsoft. Autoryzacja może odbywać się za pomocą kontroli dostępu opartej na rolach (RBAC) platformy Azure lub zasad dostępu usługi Key Vault. Kontrola dostępu oparta na rolach platformy Azure może służyć zarówno do zarządzania magazynami, jak i do uzyskiwania dostępu do danych przechowywanych w magazynie, podczas gdy zasady dostępu do magazynu kluczy mogą być używane tylko podczas próby uzyskania dostępu do danych przechowywanych w magazynie.
Magazyny kluczy platformy Azure są szyfrowane w spoczynku przy użyciu klucza przechowywanego w sprzętowych modułach zabezpieczeń (HSM). Platforma Azure chroni klucze, wpisy tajne i certyfikaty przy użyciu standardowych algorytmów branżowych, długości kluczy i modułów kryptograficznych oprogramowania. Aby zapewnić dodatkową gwarancję, możesz wygenerować lub zaimportować klucze w modułach HSM (typ RSA-HSM, EC-HSM lub OCT-HSM), które nigdy nie opuszczają granicy modułu HSM. Usługa Azure Key Vault używa zweryfikowanych modułów kryptograficznych oprogramowania i modułów HSM w standardzie Federal Information Processing Standard 140.
Na koniec usługa Azure Key Vault została zaprojektowana tak, aby firma Microsoft nie widziała ani nie wyodrębniała danych.
Monitorowanie dostępu i użycia
Po utworzeniu kilku magazynów kluczy warto monitorować sposób i czas uzyskiwania dostępu do kluczy i wpisów tajnych. Działanie można monitorować przez włączenie rejestrowania dla magazynów. Usługę Azure Key Vault można skonfigurować w następujących celach:
- Zarchiwizuj na koncie magazynu.
- Przesyłaj strumieniowo do centrum zdarzeń.
- Wyślij dzienniki do dzienników usługi Azure Monitor.
Kontrolujesz dzienniki i możesz je zabezpieczyć przez ograniczenie dostępu, a także możesz usunąć dzienniki, które nie są już potrzebne.
Uproszczone administrowanie wpisami tajnymi aplikacji
W przypadku przechowywania cennych danych należy wykonać kilka czynności. Informacje o zabezpieczeniach muszą być zabezpieczone, muszą być zgodne z cyklem życia i muszą być wysoce dostępne. Usługa Azure Key Vault upraszcza proces spełnienia tych wymagań przez:
- Usuwanie konieczności posiadania wiedzy na temat sprzętowych modułów zabezpieczeń.
- Skalowanie w górę w krótkim czasie w celu spełnienia skoków użycia organizacji.
- Replikowanie zawartości usługi Key Vault w regionie do regionu pomocniczego. Replikacja danych zapewnia wysoką dostępność i eliminuje konieczność wykonywania jakichkolwiek czynności przez administratora w celu wyzwolenia trybu failover.
- Udostępnianie standardowych opcji administrowania platformą Azure za pośrednictwem portalu, interfejsu wiersza polecenia platformy Azure i programu PowerShell.
- Zautomatyzowanie pewnych zadań związanych z certyfikatami kupowanymi od publicznych urzędów certyfikacji, na przykład ich rejestracji i odnawiania.
Usługa Azure Key Vault umożliwia także rozdzielenie wpisów tajnych aplikacji. Aplikacje mogą uzyskiwać dostęp tylko do magazynu, do którego mogą uzyskiwać dostęp, i mogą być ograniczone tylko do wykonywania określonych operacji. Istnieje możliwość utworzenia usługi Azure Key Vault dla aplikacji i ograniczenia użycia wpisów tajnych przechowywanych w usłudze Key Vault do konkretnej aplikacji i konkretnego zespołu deweloperów.
Integracja z innymi usługami platformy Azure
Jako bezpieczny magazyn na platformie Azure usługa Key Vault jest używana do upraszczania takich scenariuszy jak:
- Usługa Azure Disk Encryption
- Funkcja always encrypted i Transparent Data Encryption na serwerze SQL i w usłudze Azure SQL Database
- Azure App Service.
Samą usługę Key Vault można zintegrować z kontami magazynu, centrami zdarzeń i analizą dzienników.