Zabezpieczanie kluczy i wpisów tajnych za pomocą usługi Azure Key Vault

Ukończone

Organizacja przenosi systemy na platformę Azure. Musisz zrozumieć, w jaki sposób platforma Azure może pomóc chronić poświadczenia dla tych systemów.

W tym miejscu dowiesz się, jak używać usługi Azure Key Vault w celu spełnienia wytycznych dotyczących zabezpieczeń związanych z przechowywaniem informacji, takich jak poświadczenia i wpisy tajne.

Rozdzielanie kodu i poświadczeń za pomocą usługi Azure Key Vault

Usługa Azure Key Vault ułatwia bezpieczne przechowywanie wpisów tajnych i kluczy. Wszelkie poufne informacje, które muszą być chronione, są dobrym kandydatem do usługi Azure Key Vault. Informacjami poufnymi mogą być zarówno hasła i klucze, jak i parametry połączenia, na przykład parametry połączenia bazy danych.

Certyfikaty również muszą być bezpieczne. Przykładem są certyfikaty x509 dla połączeń HTTPS/SSL, które składają się z klucza prywatnego i klucza publicznego.

Gdy używasz usługi Azure Key Vault, Twoje wpisy tajne nie są widoczne dla wszystkich użytkowników. Nawet firma Microsoft nie może ich przeglądać. Usługa Azure Key Vault korzysta z zaawansowanych algorytmów i sprzętowych modułów zabezpieczeń, aby zapewnić bezpieczeństwo kluczy i wpisów tajnych. Sprzętowe moduły zabezpieczeń służą do zapobiegania nieuprawnionym manipulacjom i innym formom nieautoryzowanego użycia.

Organizacja może odkryć, że część jej kodu dla aplikacji wyciekła lub znajduje się w niewłaściwym miejscu z powodu błędu kontroli wersji. Kod źródłowy może ujawniać poświadczenia organizacji. Jeśli organizacja użyła usługi Azure Key Vault do przechowywania swoich kluczy tajnych, kod aplikacji nie będzie zawierał poświadczeń. W usłudze Key Vault kod aplikacji i poświadczenia są całkowicie oddzielone. Gdyby ktoś uzyskał dostęp do kodu aplikacji, poświadczenia byłyby bezpieczne i niewidoczne w aplikacji.

Rozdzielając te elementy, organizacja wyeliminowała potencjalnie poważny problem. W razie konieczności zmiany poświadczeń nie ma potrzeby aktualizowania aplikacji. Organizacja może zaktualizować poświadczenia w magazynie kluczy, a wszystkie aplikacje automatycznie będą na nie wskazywać.

Usługa Azure Key Vault umożliwia również monitorowanie sposobu i czasu użycia wpisów tajnych oraz kluczy. Możliwe jest monitorowanie aktywności w magazynie i włączenie rejestrowania. Wszystkie te dane rejestrowania mogą być archiwizowane w usłudze Azure Storage, przesyłane strumieniowo na potrzeby raportowania w czasie rzeczywistym lub przekazywane do dzienników usługi Azure Monitor. W ten sposób możesz uzyskać rzeczywiste szczegółowe informacje o wykorzystaniu Twoich wpisów tajnych i kluczy.

Usługa Azure Key Vault jest obsługiwana w wielu usługach platformy Azure, w tym usługach baz danych, usługach magazynu i usługach App Services.

Zabezpieczanie wpisu tajnego za pomocą usługi Azure Key Vault

Możesz korzystać z usługi Azure Key Vault przy użyciu interfejsu wiersza polecenia platformy Azure, programu PowerShell, szablonów usługi Azure Resource Manager, Azure Portal i zestawów SDK w wielu językach.

Poniższy przykład w interfejsie wiersza polecenia platformy Azure pokazuje, jak utworzyć magazyn kluczy do przechowywania tajnego hasła:

# Create a key vault
az keyvault create --name "Your-Vault" --resource-group "YourResourceGroup" --location westus

Teraz możesz dodać wpis tajny do tego magazynu:

# Add a secret
az keyvault secret set --vault-name "Your-Vault" --name "YourStoredPassword" --value "KlhOM901BkLx"

Upewnij się, że wpis tajny został dodany:

# Verify your secret
az keyvault secret show --name "YourStoredPassword" --vault-name "Your-Vault"

Teraz masz magazyn kluczy z przechowywanym w nim wpisem tajnym.

Sprawdź swoją wiedzę

1.

Twoja organizacja musi przechowywać wpisy tajne i uzyskiwać szczegółowe informacje o tym, jak i kiedy uzyskiwany jest dostęp do tych wpisów tajnych. Których usług platformy Azure możesz użyć razem, aby to osiągnąć?

2.

Musisz dodać hasło do magazynu kluczy, w którym przechowywane jest kilka innych haseł. Jakiego polecenia należy użyć?