Om Azure Key Vault

Azure Key Vault är en av flera viktiga hanteringslösningar i Azure och hjälper dig att lösa följande problem:

• Hantering av hemligheter – Azure Key Vault kan användas för säker lagring av och kontrollerad åtkomst till token, lösenord, certifikat, API-nycklar och andra hemligheter
• Nyckelhantering – Azure Key Vault kan användas som nyckelhanteringslösning. Med Azure Key Vault är det enkelt att skapa och kontrollera de krypteringsnycklar som används för att kryptera dina data.
• Certifikathantering – Med Azure Key Vault kan du enkelt etablera, hantera och distribuera offentliga och privata TLS/SSL-certifikat (Transport Layer Security/Secure Sockets Layer) för användning med Azure och dina interna anslutna resurser.

Azure Key Vault har två tjänstnivåer: Standard, som krypteras med en programvarunyckel och en Premium-nivå, som innehåller maskinvarusäkerhetsmoduler (HSM)-skyddade nycklar. En jämförelse mellan nivåerna Standard och Premium finns på sidan med priser för Azure Key Vault.

Anteckning

Nolltillit är en säkerhetsstrategi som består av tre principer: "Verifiera explicit", "Använd åtkomst med minst privilegier" och "Anta intrång". Dataskydd, inklusive nyckelhantering, stöder principen "använd lägsta behörighetsåtkomst". Mer information finns i Vad är Nolltillit?

Därför ska du använda Azure Key Vault

Central lagring av programhemligheter

När dina programhemligheter lagras lokalt i Azure Key Vault kan du styra spridningen av dem. Key Vault minskar kraftigt risken för att hemligheter sprids av misstag. När programutvecklare använder Key Vault behöver de inte längre lagra säkerhetsinformation i sitt program. När du inte behöver lagra säkerhetsinformation i program eliminerar du behovet av att göra den här informationen till en del av koden. Ett program kan till exempel behöva ansluta till en databas. Istället för att lagra anslutningssträngen i appkoden så kan du lagra den säkert i Key Vault.

Dina program får säker åtkomst till den information de behöver med hjälp av URI:er. Dessa URI:er gör det möjligt för programmen att hämta specifika versioner av en hemlighet. Du behöver inte skriva anpassad kod för att skydda all hemlig information som lagras i Key Vault.

Lagra hemligheter och nycklar säkert

För åtkomst till ett nyckelvalv krävs en korrekt autentisering och auktorisering (av en användare eller ett program). Autentiseringen upprättar anroparens identitet, medan auktorisering avgör vilka åtgärder som de får utföra.

Autentiseringen görs via Azure Active Directory. Auktorisering kan göras via rollbaserad åtkomstkontroll i Azure (Azure RBAC) eller Key Vault åtkomstprincip. Azure RBAC kan användas för både hantering av valv och åtkomst till data som lagras i ett valv, medan åtkomstprincipen för nyckelvalv endast kan användas vid försök att komma åt data som lagras i ett valv.

Azure Key Vaults kan vara antingen programvaruskyddat eller, med Azure Key Vault Premium-nivån, maskinvaruskyddad av maskinvarusäkerhetsmoduler (HSM). Programvaruskyddade nycklar, hemligheter och certifikat skyddas av Azure med hjälp av branschstandardalgoritmer och nyckellängder. I situationer där du behöver ytterligare kontroll kan du importera eller generera nycklar i HSM:er som aldrig lämnar HSM-gränsen. Azure Key Vault använder nChpher HSM:er, som är FIPS (Federal Information Processing Standards) 140-2 Level 2 validerade. Du kan använda nCipher-verktyg för att flytta en nyckel från din HSM till Azure Key Vault.

Slutligen är Azure Key Vault utformat så att Microsoft inte kan se eller extrahera dina data.

Övervaka åtkomst och användning

När du har skapat ett par nyckelvalv vill du övervaka hur och när dina nycklar och hemligheter används. Du kan övervaka aktiviteten genom att aktivera loggning för dina valv. Du kan konfigurera Azure Key Vault att göra följande:

• arkivera till ett lagringskonto
• strömma till en händelsehubb
• Skicka loggarna till Azure Monitor-loggarna.

Du har kontroll över dina loggar, du kan skydda dem genom att begränsa åtkomsten och du kan ta bort loggar du inte längre behöver.

Enklare administration av programhemligheter

Det ingår ett flertal steg när du lagrar värdefulla data. Säkerhetsinformation måste skyddas, den måste följa en livscykel och den måste ha hög tillgänglighet. Azure Key Vault gör det enklare att uppfylla dessa krav genom att:

• Ta bort behovet av interna kunskaper om maskinvarusäkerhetsmoduler.
• Skala upp med kort varsel för att uppfylla organisationens användningstoppar.
• Innehållet i dina nyckelvarv kan replikeras inom en region och till en sekundär region. Datareplikering säkerställer tillgängligheten och gör att administratören inte behöver utlösa redundansväxlingen manuellt.
• Du har tillgång till vanliga administrationsalternativ för Azure via portalen, Azure CLI:t och PowerShell.
• Vissa uppgifter kring certifikat som du köper från offentliga certifikatutfärdare automatiseras, som registrering och förnyelse.

Dessutom kan du särskilja programhemligheter i Azure Key Vaults. Program kan bara komma åt valvet som de har åtkomst till och de kan begränsas till att endast utföra specifika åtgärder. Du kan skapa ett nyckelvalv per program och begränsa hemligheterna som lagras i ett nyckelvalv till ett visst program och utvecklarteam.

Integrera med andra Azure-tjänster

Som säker lagring i Azure har Key Vault använts för att förenkla scenarier som:

• Azure Disk Encryption
• Funktionen alltid krypterad och transparent datakryptering i SQL Server och Azure SQL Database
• Azure App Service.

Själva Key Vault kan integreras med lagringskonton, händelsehubbar och Log Analytics.

Nästa steg

• Nyckelhantering i Azure
• Läs mer om nycklar, hemligheter och certifikat
• Snabbstart: Skapa ett nyckelvalv med hjälp av CLI
• Autentisering, begäranden och svar
• Vad är Nolltillit?