Informacje o usłudze Azure Key Vault

Usługa Azure Key Vault pomaga rozwiązać następujące problemy:

  • Zarządzanie wpisami tajnymi — usługa Azure Key Vault może służyć do bezpiecznego przechowywania i ścisłego kontrolowania dostępu do tokenów, haseł, certyfikatów, kluczy interfejsu API i innych wpisów tajnych.
  • Zarządzanie kluczami — usługa Azure Key Vault może służyć jako rozwiązanie do zarządzania kluczami. Usługa Azure Key Vault ułatwia tworzenie i kontrolowanie kluczy szyfrowania używanych do szyfrowania danych.
  • Zarządzanie certyfikatami — usługa Azure Key Vault umożliwia łatwe aprowizowania i wdrażania publicznych i prywatnych certyfikatów Transport Layer Security/Secure Sockets Layer (TLS/SSL) do użytku z platformą Azure i wewnętrznymi połączonymi zasobami.

Usługa Azure Key Vault ma dwie warstwy usług: Standardowa, która szyfruje za pomocą klucza oprogramowania i warstwę Premium, która obejmuje sprzętowe klucze chronione przez moduł zabezpieczeń (HSM). Aby wyświetlić porównanie warstw Standardowa i Premium, zobacz stronę cennika usługi Azure Key Vault.

Jakie są zalety korzystania z usługi Azure Key Vault?

Scentralizowana obsługa wpisów tajnych aplikacji

Centralny magazyn wpisów tajnych aplikacji w usłudze Azure Key Vault umożliwia kontrolowanie ich dystrybucji. Usługa Key Vault znacznie ogranicza prawdopodobieństwo przypadkowego ujawnienia wpisów tajnych. Korzystając z usługi Key Vault, deweloperzy aplikacji nie muszą już przechowywać informacji zabezpieczeń w aplikacji. Ponieważ nie trzeba już przechowywać informacji o zabezpieczeniach w aplikacjach, nie ma potrzeby używania tych informacji w kodzie. Na przykład aplikacja może potrzebować połączenia z bazą danych. Zamiast przechowywać parametry połączenia w kodzie aplikacji można je przechowywać bezpiecznie w usłudze Key Vault.

Twoje aplikacje mogą bezpiecznie uzyskiwać dostęp do potrzebnych informacji za pomocą identyfikatorów URI. Te identyfikatory URI umożliwiają aplikacjom pobranie określonych wersji wpisu tajnego. Nie ma konieczności pisania niestandardowego kodu w celu ochrony poufnych informacji przechowywanych w usłudze Key Vault.

Bezpieczne przechowywanie wpisów tajnych i kluczy

Udzielenie dostępu do magazynu kluczy wywołującemu użytkownikowi lub aplikacji wymaga odpowiedniego uwierzytelnienia i autoryzacji. Uwierzytelnianie ustala tożsamość elementu wywołującego, a autoryzacja określa, jakie operacje może on wykonywać.

Uwierzytelnianie jest wykonywane za pośrednictwem usługi Azure Active Directory. Autoryzacja może odbywać się za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure lub zasad dostępu Key Vault. Kontrola dostępu oparta na rolach platformy Azure może służyć zarówno do zarządzania magazynami, jak i uzyskiwania dostępu do danych przechowywanych w magazynie, podczas gdy zasady dostępu do magazynu kluczy mogą być używane tylko podczas próby uzyskania dostępu do danych przechowywanych w magazynie.

Usługa Azure Key Vault może być chroniona przez oprogramowanie lub w warstwie Azure Key Vault Premium, chroniona sprzętowo przez sprzętowe moduły zabezpieczeń (HSM). Klucze chronione przez oprogramowanie, wpisy tajne i certyfikaty są chronione przez platformę Azure przy użyciu standardowych algorytmów branżowych i długości kluczy. W sytuacjach, w których wymagana jest dodatkowa gwarancja, możesz zaimportować lub wygenerować klucze w modułach HSM, które nigdy nie opuszczają granicy modułu HSM. Usługa Azure Key Vault używa zweryfikowanych modułów HSM nCipher, które są federalnymi standardami przetwarzania informacji (FIPS) 140–2 poziom 2. Za pomocą narzędzi nCipher można przenieść klucz z modułu HSM do usługi Azure Key Vault.

Usługa Azure Key Vault została zaprojektowana w taki sposób, aby firma Microsoft nie miała wglądu w Twoje dane ani nie mogła ich wyodrębnić.

Monitorowanie dostępu i użycia

Po utworzeniu kilku magazynów usługi Key Vault może zajść potrzeba monitorowania sposobu oraz czasu dostępu do kluczy i wpisów tajnych. Działanie można monitorować przez włączenie rejestrowania dla magazynów. Usługę Azure Key Vault można skonfigurować w następujących celach:

  • Archiwizowanie na koncie magazynu.
  • Przesyłanie strumieniowe do centrum zdarzeń.
  • Wysyłanie dzienników do dzienników usługi Azure Monitor.

Kontrolujesz dzienniki i możesz je zabezpieczyć przez ograniczenie dostępu, a także możesz usunąć dzienniki, które nie są już potrzebne.

Uproszczone administrowanie wpisami tajnymi aplikacji

W przypadku przechowywania cennych danych należy wykonać kilka czynności. Informacje o zabezpieczeniach muszą być zabezpieczone, muszą być zgodne z cyklem życia i muszą być wysoce dostępne. Usługa Azure Key Vault upraszcza proces spełnienia tych wymagań przez:

  • Usuwanie konieczności posiadania wiedzy na temat sprzętowych modułów zabezpieczeń.
  • Skalowanie w górę w krótkim czasie, aby spełnić wzrost użycia organizacji.
  • Replikowanie zawartości usługi Key Vault w regionie do regionu pomocniczego. Replikacja danych zapewnia wysoką dostępność i eliminuje konieczność wykonywania jakichkolwiek czynności przez administratora w celu wyzwolenia trybu failover.
  • Udostępnianie standardowych opcji administrowania platformą Azure za pośrednictwem portalu, interfejsu wiersza polecenia platformy Azure i programu PowerShell.
  • Zautomatyzowanie pewnych zadań związanych z certyfikatami kupowanymi od publicznych urzędów certyfikacji, na przykład ich rejestracji i odnawiania.

Usługa Azure Key Vault umożliwia także rozdzielenie wpisów tajnych aplikacji. Aplikacje mają dostęp tylko do magazynu, do którego zezwolono im na dostęp, i mogą zostać ograniczone do wykonywania tylko określonych operacji. Istnieje możliwość utworzenia usługi Azure Key Vault dla aplikacji i ograniczenia użycia wpisów tajnych przechowywanych w usłudze Key Vault do konkretnej aplikacji i konkretnego zespołu deweloperów.

Integracja z innymi usługami platformy Azure

Jako bezpieczny magazyn na platformie Azure usługa Key Vault jest używana do upraszczania takich scenariuszy jak:

Samą usługę Key Vault można zintegrować z kontami magazynu, centrami zdarzeń i analizą dzienników.

Następne kroki