Сведения об Azure Key Vault
Azure Key Vault является одним из нескольких решений для управления ключами в Azure и помогает решить следующие проблемы:
- Управление секретами. Azure Key Vault обеспечивает безопасное хранение токенов, паролей, сертификатов, ключей API и других секретных сведений со строгим контролем доступа к ним.
- Управление ключами. Azure Key Vault можно использовать как решение по управлению ключами. Эта служба позволяет легко создавать и контролировать ключи шифрования, используемые для шифрования данных.
- Управление сертификатами. С помощью службы Azure Key Vault можно с легкостью подготавливать, администрировать и развертывать общедоступные и частные сертификаты TLS/SSL для использования в Azure и внутренних подключенных ресурсах.
Azure Key Vault предлагает два уровня служб: "Стандартный" (шифруется с использованием программного ключа) и "Премиум" (включает защищенные модулем HSM ключи). Сравнение этих уровней см. на странице цен Azure Key Vault.
Примечание.
Нулевое доверие — это стратегия безопасности, состоящая из трех принципов: "Проверка явным образом", "Использование минимального доступа к привилегиям" и "Предполагать нарушение". Защита данных, включая управление ключами, поддерживает принцип "использовать минимальный доступ к привилегиям". Дополнительные сведения см. в разделе "Что такое нулевое доверие"?
Использование Azure Key Vault
Централизация секретов приложений
Централизованное хранение секретов приложения в Azure Key Vault позволяет управлять их распространением. Key Vault значительно снижает вероятность случайной утечки секретов. Когда разработчики приложений используют Key Vault, они больше не должны хранить сведения о безопасности в своем приложении. Отсутствие необходимости хранить сведения о безопасности в приложениях устраняет потребность включать эти сведения в код. Например, приложению может потребоваться подключиться к базе данных. Вместо хранения строки подключения в коде приложений она безопасно хранится в Key Vault.
Ваши приложения могут безопасно получить необходимые сведения, используя URI. Эти URI позволяют приложениям получить определенные версии секрета. Нет необходимости писать специальный код для защиты любых секретных данных, хранящихся в Key Vault.
Безопасное хранение секретов и ключей
Прежде чем вызывающий объект (пользователь или приложение) сможет получить доступ к хранилищу ключей, требуется правильная проверка подлинности и авторизация. Проверка подлинности устанавливает удостоверение вызывающего объекта, а авторизация определяет операции, которые они могут выполнять.
Проверка подлинности выполняется с помощью идентификатора Microsoft Entra. Авторизацию можно выполнить с помощью управления доступом на основе ролей в Azure (Azure RBAC) или политики доступа Key Vault. Azure RBAC можно использовать как для управления хранилищами, так и для доступа к данным, хранящимся в хранилище, а политика доступа к хранилищу ключей может использоваться только при попытке доступа к данным, хранящимся в хранилище.
Хранилища ключей Azure шифруются неактивных с помощью ключа, хранящегося в аппаратных модулях безопасности (HSM). Azure защищает ключи, секреты и сертификаты с помощью стандартных алгоритмов, длины ключей и модулей шифрования программного обеспечения. Для дополнительной гарантии можно создавать или импортировать ключи в HSM (тип RSA-HSM, EC-HSM или OCT-HSM), которые никогда не покидают границу HSM. Azure Key Vault использует проверенные модули шифрования программного обеспечения и HSM с проверкой уровня "Федеральная обработка информации" уровня "Стандартный 140".
Наконец, служба Azure Key Vault разработана таким образом, чтобы корпорация Майкрософт не могла просматривать или извлекать ваши данные.
Мониторинг доступа и использования
После создания нескольких хранилищ ключей необходимо отслеживать способ доступа к ключам и секретам. Вы можете отслеживать действия, включив ведение журнала для своих хранилищ. Для Azure Key Vault можно настроить следующее:
- Archive to a storage account (Архивировать в учетной записи хранения).
- Stream to an event hub (Потоковая передача в концентратор событий).
- Отправка журналов в журналы Azure Monitor
У вас есть контроль над журналами, их можно защитить, ограничив доступ. Кроме того, вы можете удалить ненужные журналы.
Упрощенное администрирование секретов приложений.
При хранении ценных данных необходимо выполнить несколько шагов. Информация о безопасности должна быть защищенной, должна соответствовать жизненному циклу и быть высокодоступной. Azure Key Vault упрощает процесс соответствия этим требованиям таким образом:
- Отсутствие необходимости в специальных знаниях об аппаратных модулях безопасности.
- Масштабирование в соответствии с пиками потребления вашей организации.
- Репликацию содержимого Key Vault в рамках региона и в дополнительный регион. Репликация данных обеспечивает высокий уровень доступности и не требует вмешательства администратора для запуска отработки отказа.
- Предоставление стандартных возможностей администрирования через портал, Azure CLI и PowerShell.
- Автоматизацию определенных задач с сертификатами, приобретенными в общедоступных центрах сертификации, например регистрацию и продление срока действия.
Кроме того, Azure Key Vault позволяет разделять секреты приложений. Приложения могут получить доступ только к хранилищу, к которому они разрешены доступ, и они могут быть ограничены только для выполнения определенных операций. Вы можете создать Azure Key Vault для каждого приложения и ограничить секреты, хранящиеся в Key Vault, конкретным приложением и командой разработчиков.
Интеграция с другими службами Azure
Являясь защищенным хранилищем в Azure, Key Vault используется для упрощения таких сценариев:
- Дисковое шифрование Azure
- Функции Always Encrypted и прозрачное шифрование данных в SQL Server и базе данных SQL Azure
- Служба приложений Azure.
Key Vault можно интегрировать с учетными записями хранения, концентраторами событий и Log Analytics.