Azure Key Vault hakkında
Azure Key Vault, Azure'daki çeşitli temel yönetim çözümlerinden biridir ve aşağıdaki sorunların çözülmesine yardımcı olur:
- Gizli Dizi Yönetimi: Belirteçleri, parolaları, sertifikaları, API anahtarlarını ve diğer gizli dizileri Güvenle depolamak ve bunlara erişimi sıkı bir şekilde denetlemek için Azure Key Vault kullanılabilir.
- Anahtar Yönetimi - Azure Key Vault bir Anahtar Yönetimi çözümü olarak kullanılabilir. Azure Key Vault, verilerinizi şifrelemek için kullanılan şifreleme anahtarlarını oluşturmayı ve denetlemeyi kolaylaştırır.
- Sertifika Yönetimi - Azure Key Vault, Azure ve dahili bağlı kaynaklarınız ile kullanmak üzere genel ve özel Aktarım Katmanı Güvenliği/Güvenli Yuva Katmanı (TLS/SSL) sertifikalarını kolayca sağlamanızı, yönetmenizi ve dağıtmanızı sağlar.
Azure Key Vault'un iki hizmet katmanı vardır: Yazılım anahtarıyla şifrelenen Standart ve donanım güvenlik modülü (HSM) korumalı anahtarları içeren bir Premium katmanı. Standart ve Premium katmanları arasındaki karşılaştırmayı görmek için Bkz . Azure Key Vault fiyatlandırma sayfası.
Not
Sıfır Güven üç ilkeden oluşan bir güvenlik stratejisidir: "Açıkça doğrula", "En az ayrıcalık erişimi kullan" ve "İhlal varsay". Anahtar yönetimi de dahil olmak üzere veri koruma, "en az ayrıcalık erişimi kullan" ilkesini destekler. Daha fazla bilgi için bkz. Sıfır Güven nedir?
Neden Azure Key Vault kullanmalıyım?
Uygulama gizli dizilerini merkezi hale getirme
Azure Key Vault’ta uygulama gizli dizilerinin depolanmasını merkezi hale getirerek dağılımlarını denetleyebilirsiniz. Key Vault, gizli dizilerin yanlışlıkla sızdırılma olasılığını büyük oranda azaltır. Uygulama geliştiricileri Key Vault'u kullandığında, artık güvenlik bilgilerini kendi uygulamalarına depolamaları gerekmez. Uygulamalarda güvenlik bilgilerini depolamak zorunda kalmak, bu bilgileri kodun bir parçası yapma gereksinimini ortadan kaldırır. Örneğin, bir uygulamanın bir veritabanına bağlanması gerekebilir. bağlantı dizesi uygulamanın kodunda depolamak yerine Key Vault'ta güvenli bir şekilde depolayabilirsiniz.
Uygulamalarınız URI'leri kullanarak ihtiyaç duydukları bilgilere güvenli bir şekilde erişebilir. Bu URI'ler uygulamaların gizli dizilerin belirli sürümlerini almasını sağlar. Key Vault'ta depolanan gizli dizi bilgilerinden herhangi birini korumak için özel kod yazmanız gerekmez.
Gizli dizileri ve anahtarları güvenle depolama
Bir anahtar kasasına erişim, bir çağıranın (kullanıcı ya da uygulama) erişim elde edebilmesi için uygun kimlik doğrulaması ve yetkilendirme gerektirir. Kimlik doğrulaması çağıranın kimliğini oluştururken yetkilendirme, gerçekleştirmesine izin verilen işlemleri belirler.
Kimlik doğrulaması Microsoft Entra Id aracılığıyla yapılır. Yetkilendirme, Azure rol tabanlı erişim denetimi (Azure RBAC) veya Key Vault erişim ilkesi aracılığıyla yapılabilir. Azure RBAC hem kasaların yönetimi hem de kasada depolanan verilere erişmek için kullanılabilirken, anahtar kasası erişim ilkesi yalnızca kasada depolanan verilere erişmeye çalışırken kullanılabilir.
Azure anahtar kasaları, donanım güvenlik modüllerinde (HSM' ler) depolanan bir anahtarla bekleme sırasında şifrelenir. Azure, endüstri standardı algoritmaları, anahtar uzunlukları ve yazılım şifreleme modüllerini kullanarak anahtarları, gizli dizileri ve sertifikaları korur. Daha fazla güvence için HSM sınırından hiçbir zaman ayrılmamış HSM'lerde (RSA-HSM, EC-HSM veya OCT-HSM türü) anahtar oluşturabilir veya içeri aktarabilirsiniz. Azure Key Vault, Federal Bilgi İşleme Standardı 140 doğrulanmış yazılım şifreleme modüllerini ve HSM'leri kullanır.
Son olarak Azure Key Vault, Microsoft'un verilerinizi görmemesi veya ayıklamaması için tasarlanmıştır.
Erişimi ve kullanımı izleme
Birkaç Anahtar Kasası oluşturduktan sonra anahtarlarınıza ve gizli dizilerinize nasıl ve ne zaman erişildiğini izlemek istersiniz. Kasalarınız için günlüğe kaydetmeyi etkinleştirerek etkinliği izleyebilirsiniz. Azure Key Vault’u aşağıdaki işlemleri yapacak şekilde yapılandırabilirsiniz:
- Bir depolama hesabına arşivleme.
- Olay hub’ına akış yapma.
- Günlükleri Azure İzleyici günlüklerine gönderin.
Günlükleriniz üzerinde denetime sahip olursunuz ve erişimi kısıtlayarak günlükleri güvenli hale getirebilir ve artık gerekli olmayan günlükleri de silebilirsiniz.
Uygulama gizli dizilerinin basitleştirilmiş yönetimi
Değerli verileri depolarken birkaç adım uygulamanız gerekir. Güvenlik bilgilerinin güvenliği sağlanmalıdır, bir yaşam döngüsünü izlemelidir ve yüksek oranda kullanılabilir olmalıdır. Azure Key Vault şu gereksinimleri karşılama sürecini basitleştirir:
- Donanım Güvenlik Modülleri hakkında şirket içi bilgi gereksinimini ortadan kaldırma.
- Kuruluşunuzun kullanım artışlarını karşılamak için kısa sürede ölçeği artırma.
- Bir bölge içindeki Anahtar Kasanızın içeriklerini ikincil bir bölgeye çoğaltma. Veri çoğaltma yüksek kullanılabilirlik sağlar ve yöneticinin yük devretmeyi tetikleyebilmesi için herhangi bir eylem gereksinimini ortadan kaldırır.
- Portal, Azure CLI ve PowerShell aracılığıyla standart Azure yönetim seçeneklerini sağlama.
- Genel CA’lardan satın aldığınız sertifikalarla ilgili kaydetme ve yenileme gibi belirli görevleri otomatikleştirme.
Ayrıca, Azure Anahtar Kasalarını kullanarak uygulama gizli dizilerini ayırabilirsiniz. Uygulamalar yalnızca erişim izni olan kasaya erişebilir ve yalnızca belirli işlemleri gerçekleştirmekle sınırlanabilir. Uygulama başına bir Azure Key Vault oluşturabilir ve bir Key Vault’ta depolanmış gizli dizileri belirli bir uygulama ve geliştirici takımı ile kısıtlayabilirsiniz.
Diğer Azure hizmetleri ile tümleştirme
Azure'da güvenli bir depo olarak Key Vault, şu senaryoları basitleştirmek için kullanılmıştır:
- Azure Disk Şifrelemesi
- SQL server ve Azure SQL Veritabanı her zaman şifrelenmiş ve Saydam Veri Şifrelemesi işlevselliği
- Azure Uygulaması Hizmeti.
Key Vault, depolama hesapları, olay hub’ları ve günlük analizi ile tümleştirilebilir.
Sonraki adımlar
- Azure'da anahtar yönetimi
- Anahtarlar, gizli diziler ve sertifikalar hakkında daha fazla bilgi edinin
- Hızlı Başlangıç: CLI kullanarak bir Azure Key Vault oluşturma
- Kimlik doğrulaması, istekler ve yanıtlar
- Sıfır Güven nedir?