Azure Key Vault hakkında

Azure Key Vault, Azure'daki çeşitli temel yönetim çözümlerinden biridir ve aşağıdaki sorunların çözülmesine yardımcı olur:

  • Gizli Dizi Yönetimi: Belirteçleri, parolaları, sertifikaları, API anahtarlarını ve diğer gizli dizileri Güvenle depolamak ve bunlara erişimi sıkı bir şekilde denetlemek için Azure Key Vault kullanılabilir.
  • Anahtar Yönetimi - Azure Key Vault bir Anahtar Yönetimi çözümü olarak kullanılabilir. Azure Key Vault, verilerinizi şifrelemek için kullanılan şifreleme anahtarlarını oluşturmayı ve denetlemeyi kolaylaştırır.
  • Sertifika Yönetimi - Azure Key Vault, Azure ve dahili bağlı kaynaklarınız ile kullanmak üzere genel ve özel Aktarım Katmanı Güvenliği/Güvenli Yuva Katmanı (TLS/SSL) sertifikalarını kolayca sağlamanızı, yönetmenizi ve dağıtmanızı sağlar.

Azure Key Vault iki hizmet katmanı vardır: Yazılım anahtarıyla şifrelenen Standart ve donanım güvenlik modülü (HSM) korumalı anahtarları içeren premium katman. Standart ve Premium katmanları arasındaki karşılaştırmayı görmek için Azure Key Vault fiyatlandırma sayfasına bakın.

Neden Azure Key Vault kullanmalıyım?

Uygulama gizli dizilerini merkezi hale getirme

Azure Key Vault’ta uygulama gizli dizilerinin depolanmasını merkezi hale getirerek dağılımlarını denetleyebilirsiniz. Key Vault, gizli dizilerin yanlışlıkla sızdırılma olasılığını büyük oranda azaltır. Key Vault kullanırken, uygulama geliştiricilerinin güvenlik bilgilerini uygulamalarında depolaması artık gerekli değildir. Uygulamalarda güvenlik bilgilerini depolamak zorunda olmamanız, bu bilgileri kodun bir parçası yapma gereğini ortadan kaldırır. Örneğin, bir uygulamanın bir veritabanına bağlanması gerekebilir. Bağlantı dizesini uygulamanın kodunda depolamak yerine Key Vault güvenli bir şekilde depolayabilirsiniz.

Uygulamalarınız URI'leri kullanarak ihtiyaç duydukları bilgilere güvenli bir şekilde erişebilir. Bu URI'ler uygulamaların gizli dizilerin belirli sürümlerini almasını sağlar. Key Vault'de depolanan gizli bilgileri korumak için özel kod yazmanız gerekmez.

Gizli dizileri ve anahtarları güvenle depolama

Bir anahtar kasasına erişim, bir çağıranın (kullanıcı ya da uygulama) erişim elde edebilmesi için uygun kimlik doğrulaması ve yetkilendirme gerektirir. Kimlik doğrulama işlemi çağıranın kimliğini, yetkilendirme işlemi ise çağıranın yapmaya izinli olduğu işlemleri belirler.

Kimlik doğrulaması Azure Active Directory aracılığıyla yapılır. Yetkilendirme, Azure rol tabanlı erişim denetimi (Azure RBAC) veya Key Vault erişim ilkesi aracılığıyla yapılabilir. Azure RBAC hem kasaların yönetimi hem de kasada depolanan erişim verileri için kullanılabilirken, anahtar kasası erişim ilkesi yalnızca kasada depolanan verilere erişmeye çalışırken kullanılabilir.

Azure Key Vault'lar yazılım korumalı veya Azure Key Vault Premium katmanıyla donanım güvenlik modülleri (HSM) tarafından donanım korumalı olabilir. Yazılım korumalı anahtarlar, gizli diziler ve sertifikalar, endüstri standardı algoritmalar ve anahtar uzunlukları kullanılarak Azure tarafından korunur. Ek güvence gerektiren durumlarda, HSM sınırını hiçbir zaman bırakmayan HSM'lerde anahtarları içeri aktarabilir veya oluşturabilirsiniz. Azure Key Vault, Federal Bilgi İşleme Standartları (FIPS) 140-2 Düzey 2 doğrulanmış olan nCipher HSM'lerini kullanır. Bir anahtarı HSM'nizden Azure Key Vault'a taşımak için nCipher araçlarını kullanabilirsiniz.

Son olarak Azure Key Vault, Microsoft verilerinizi görmeyecek ve ayıklamayacak şekilde tasarlanmıştır.

Erişimi ve kullanımı izleme

Birkaç Key Vault oluşturduktan sonra anahtarlarınıza ve gizli dizilerinize nasıl ve ne zaman erişildiğini izlemek istersiniz. Kasalarınız için günlüğe kaydetmeyi etkinleştirerek etkinliği izleyebilirsiniz. Azure Key Vault’u aşağıdaki işlemleri yapacak şekilde yapılandırabilirsiniz:

  • Bir depolama hesabına arşivleme.
  • Bir olay hub'ına akış yapma.
  • Günlükleri Azure İzleyici günlüklerine gönderin.

Günlükleriniz üzerinde denetime sahip olursunuz ve erişimi kısıtlayarak günlükleri güvenli hale getirebilir ve artık gerekli olmayan günlükleri de silebilirsiniz.

Uygulama gizli dizilerinin basitleştirilmiş yönetimi

Değerli verileri depolarken birkaç adım uygulamanız gerekir. Güvenlik bilgilerinin güvenliği sağlanmalıdır, bir yaşam döngüsünü izlemelidir ve yüksek oranda kullanılabilir olmalıdır. Azure Key Vault şu gereksinimleri karşılama sürecini basitleştirir:

  • Donanım Güvenlik Modülleri hakkında şirket içi bilgi gereksinimini ortadan kaldırma.
  • Kuruluşunuzun kullanım artışlarını karşılamak için ölçeği kısa sürede artırma.
  • Bir bölge içindeki Anahtar Kasanızın içeriklerini ikincil bir bölgeye çoğaltma. Veri çoğaltma, yüksek kullanılabilirlik sağlar ve yük devretmeyi tetikleme amacıyla yöneticinin herhangi bir eyleme ihtiyaç duymasını ortadan kaldırır.
  • Portal, Azure CLI ve PowerShell aracılığıyla standart Azure yönetim seçeneklerini sağlama.
  • Genel CA’lardan satın aldığınız sertifikalarla ilgili kaydetme ve yenileme gibi belirli görevleri otomatikleştirme.

Ayrıca, Azure Anahtar Kasalarını kullanarak uygulama gizli dizilerini ayırabilirsiniz. Uygulamalar yalnızca erişim izni verilen kasaya erişebilir ve yalnızca belirli işlemleri gerçekleştirmekle sınırlı olabilir. Uygulama başına bir Azure Key Vault oluşturabilir ve bir Key Vault’ta depolanmış gizli dizileri belirli bir uygulama ve geliştirici takımı ile kısıtlayabilirsiniz.

Diğer Azure hizmetleri ile tümleştirme

Azure'da güvenli bir depo olarak, Key Vault gibi senaryoları basitleştirmek için kullanılmıştır:

Key Vault, depolama hesapları, olay hub’ları ve günlük analizi ile tümleştirilebilir.

Sonraki adımlar