Dela via


Om Azure Key Vault

Azure Key Vault är en av flera viktiga hanteringslösningar i Azure och hjälper dig att lösa följande problem:

  • Hantering av hemligheter – Azure Key Vault kan användas för säker lagring av och kontrollerad åtkomst till token, lösenord, certifikat, API-nycklar och andra hemligheter
  • Nyckelhantering – Azure Key Vault kan användas som en nyckelhanteringslösning. Med Azure Key Vault är det enkelt att skapa och kontrollera de krypteringsnycklar som används för att kryptera dina data.
  • Certifikathantering – Med Azure Key Vault kan du enkelt etablera, hantera och distribuera offentliga och privata TLS/SSL-certifikat (Transport Layer Security/Secure Sockets Layer) för användning med Azure och dina interna anslutna resurser.

Azure Key Vault har två tjänstnivåer: Standard, som krypteras med en programvarunyckel och en Premium-nivå, som innehåller maskinvarusäkerhetsmoduler (HSM)-skyddade nycklar. En jämförelse mellan standard- och Premium-nivåerna finns på prissidan för Azure Key Vault.

Kommentar

Nolltillit är en säkerhetsstrategi som består av tre principer: "Verifiera explicit", "Använd åtkomst med minst behörighet" och "Anta intrång". Dataskydd, inklusive nyckelhantering, stöder principen "använd åtkomst med minst behörighet". Mer information finns i Vad är Nolltillit?

Därför ska du använda Azure Key Vault

Central lagring av programhemligheter

När dina programhemligheter lagras lokalt i Azure Key Vault kan du styra spridningen av dem. Key Vault minskar kraftigt risken för att hemligheter sprids av misstag. När programutvecklare använder Key Vault behöver de inte längre lagra säkerhetsinformation i sitt program. När du inte behöver lagra säkerhetsinformation i program eliminerar du behovet av att göra den här informationen till en del av koden. Ett program kan till exempel behöva ansluta till en databas. Istället för att lagra anslutningssträngen i appkoden så kan du lagra den säkert i Key Vault.

Dina program får säker åtkomst till den information de behöver med hjälp av URI:er. Dessa URI:er gör det möjligt för programmen att hämta specifika versioner av en hemlighet. Du behöver inte skriva anpassad kod för att skydda någon hemlig information som lagras i Key Vault.

Lagra hemligheter och nycklar säkert

För åtkomst till ett nyckelvalv krävs en korrekt autentisering och auktorisering (av en användare eller ett program). Autentisering upprättar anroparens identitet, medan auktorisering avgör vilka åtgärder som de får utföra.

Autentiseringen görs via Microsoft Entra-ID. Auktorisering kan göras via rollbaserad åtkomstkontroll i Azure (Azure RBAC) eller key vault-åtkomstprincip. Azure RBAC kan användas både för hantering av valven och för att komma åt data som lagras i ett valv, medan åtkomstprincip för nyckelvalv endast kan användas när du försöker komma åt data som lagras i ett valv.

Azure-nyckelvalv krypteras i vila med en nyckel som lagras i maskinvarusäkerhetsmoduler (HSM). Azure skyddar nycklar, hemligheter och certifikat med hjälp av branschstandardalgoritmer, nyckellängder och krypteringsmoduler för programvara. För ytterligare säkerhet kan du generera eller importera nycklar i HSM:er (typ RSA-HSM, EC-HSM eller OCT-HSM) som aldrig lämnar HSM-gränsen. Azure Key Vault använder validerade krypteringsmoduler och HSM:er för federal informationsbearbetning standard 140.

Slutligen är Azure Key Vault utformat så att Microsoft inte ser eller extraherar dina data.

Övervaka åtkomst och användning

När du har skapat ett par Key Vault-valv vill du övervaka hur och när dina nycklar och hemligheter används. Du kan övervaka aktiviteten genom att aktivera loggning för dina valv. Du kan konfigurera Azure Key Vault att göra följande:

  • Arkivera till ett lagringskonto.
  • Strömma till en händelsehubb.
  • Skicka loggarna till Azure Monitor-loggarna.

Du har kontroll över dina loggar, du kan skydda dem genom att begränsa åtkomsten och du kan ta bort loggar du inte längre behöver.

Enklare administration av programhemligheter

Det ingår ett flertal steg när du lagrar värdefulla data. Säkerhetsinformation måste skyddas, den måste följa en livscykel och den måste vara mycket tillgänglig. Azure Key Vault gör det enklare att uppfylla dessa krav genom att:

  • Ta bort behovet av interna kunskaper om maskinvarusäkerhetsmoduler.
  • Skala upp med kort varsel för att uppfylla organisationens användningstoppar.
  • Innehållet i dina nyckelvarv kan replikeras inom en region och till en sekundär region. Datareplikering säkerställer tillgängligheten och gör att administratören inte behöver utlösa redundansväxlingen manuellt.
  • Du har tillgång till vanliga administrationsalternativ för Azure via portalen, Azure CLI:t och PowerShell.
  • Vissa uppgifter kring certifikat som du köper från offentliga certifikatutfärdare automatiseras, som registrering och förnyelse.

Dessutom kan du särskilja programhemligheter i Azure Key Vaults. Program kan endast komma åt valvet som de har åtkomst till, och de kan begränsas till att endast utföra specifika åtgärder. Du kan skapa ett nyckelvalv per program och begränsa hemligheterna som lagras i ett nyckelvalv till ett visst program och utvecklarteam.

Integrera med andra Azure-tjänster

Som säker lagring i Azure har Key Vault använts för att förenkla scenarier som:

Själva Key Vault kan integreras med lagringskonton, händelsehubbar och Log Analytics.

Nästa steg