多租用戶和 Azure Key Vault
Azure Key Vault 用於管理解決方案的安全性資料,包括密碼、加密金鑰和憑證。 在本文中,我們介紹了 Azure Key Vault 的一些對多租用戶解決方案有用的功能。 然後,當您計劃如何使用 Key Vault 時,我們會提供可為您提供協助的指南連結。
隔離模型
透過 Key Vault 使用多租用戶系統時,您需要決定要使用的隔離等級。 您所選擇的隔離模型取決於以下因素:
- 您計劃有多少租用戶?
- 您是否在多個租用戶之間共用應用程式層,是否部署單一租用戶應用程式執行個體,或者是否為每個租用戶部署單獨的部署標記?
- 您的租用戶是否需要管理自己的加密金鑰?
- 您的租用戶是否有合規性要求,要求他們的密碼與其他租用戶的密碼分開儲存?
以下表格總結了 Key Vault 主要租用戶模型之間的差異:
| 考量 | 每個租用戶一個保存庫,其位於提供者的訂閱中。 | 每個租用戶一個保存庫,其位於租用戶的訂閱中。 | 共用保存庫 |
|---|---|---|---|
| 資料隔離 | 高 | 非常高 | 低 |
| 效能隔離 | 一般。 即使有許多保存庫,高輸送量也可能受到限制 | 高 | 低 |
| 部署複雜度 | 低至中等,視租用戶數量而定。 | 高。 租用戶必須正確授予提供者存取權限 | 低 |
| 操作複雜度 | 高 | 提供者低,租用戶較高 | 最低 |
| 案例範例 | 每個租用戶的單獨應用程式執行個體 | 使用客戶自控的加密金鑰 | 具有共用應用程式層的大型多租用戶解決方案 |
每個租用戶一個保存庫,其位於提供者的訂閱中。
您可以考慮為 (服務提供者) Azure 訂閱中的每個租用戶部署保存庫。 這種方法為每個租用戶的資料提供了強大的資料隔離。 但是,隨著租用戶數量的增加,您需要部署和管理的保存庫也會越來越多。
您可以在 Azure 訂閱中部署的保存庫數量沒有限制。 然而,您應該考慮以下限制:
- 您在一段時間內可以發出的要求數量存在訂閱範圍限制。 無論訂閱中的保存庫數量如何,這些限制均適用。 因此,即使您擁有特定租用戶的保存庫,遵循我們的節流指南也很重要。
- 可以在訂閱中建立的 Azure 角色分配數量有限制。 當您在訂閱中部署和設定大量保存庫時,您可能會接近這些限制。
每個租用戶一個保存庫,其位於租用戶的訂閱中。
在某些情況下,租用戶可能會在自己的 Azure 訂閱中建立保存庫,並且他們可能希望授予您的應用程式存取權限以使用密碼、憑證或金鑰。 當您允許客戶自控金鑰 (CMK) 在解決方案中進行加密時,適合使用此方法。
為了存取租用戶保存庫中的資料,租用戶必須向您的應用程式提供對其保存庫的存取權。 此程序要求您的應用程式透過其 Microsoft Entra 執行個體進行驗證。 一種方法是發布多租用戶 Microsoft Entra 應用程式。 您的租用戶必須執行一次性同意流程。 他們會先在自己的 Microsoft Entra 租用戶中註冊多租用戶 Microsoft Entra 應用程式。 然後,他們會向您的多租用戶 Microsoft Entra 應用程式授予適當的存取權限,以存取他們的保存庫。 他們還需要向您提供他們所建立保存庫的完整資源識別碼。 然後,您的應用程式程式碼可以使用與您自己 Microsoft Entra ID 中的多租用戶 Microsoft Entra 應用程式關聯的服務主體,來存取每個租用戶的保存庫。
或者,您可以要求每個租用戶為您的服務建立一個服務主體,並提供其認證給您。 然而,這種方法需要您安全地儲存和管理每個租用戶的認證,這會帶來安全風險。
如果您的租用戶在其保存庫上設定了網路存取控制,請確保您能夠存取保存庫。 設計您的應用程式以應對租用戶更改其網路存取控制,從而阻止您存取其保存庫的情況。
共用保存庫
您可以選擇在單一保存庫中共用租用戶的密碼。 這個保存庫部署在您 (解決方案提供者) 的 Azure 訂閱中,由您負責管理它。 這種方法最簡單,但提供的資料隔離和效能隔離最少。
您也可以選擇部署多個共用保存庫。 例如,如果您遵循部署戳記模式,您可能會在每個戳記中部署一個共用保存庫。 同樣,如果您部署多區域解決方案,則應在每個區域都部署保存庫,原因如下:
- 避免在使用保存庫中的資料時發生跨區域流量延遲。
- 支援資料落地要求。
- 可在需要同區域部署的其他服務中使用區域保存庫。
使用共用保存庫時,請務必考慮考慮您對保存庫執行的作業次數。 作業包括讀取密碼,以及執行加密或解密作業。 Key Vault 對單個保存庫的要求數量,以及整個 Azure 訂閱中的所有保存庫要求數量施加了限制。 請確定您遵循節流指南。 請務必遵循建議的做法,包括安全地快取您擷取的密碼,以及使用信封加密以避免將每個加密作業發送到 Key Vault。 當您遵循這些最佳做法時,您可以在單一保存庫上執行大規模解決方案。
如果您需要儲存特定租用戶的密碼、金鑰或憑證,請考慮使用命名慣例 (例如命名前綴)。 例如,您可以將租用戶識別碼新增到每個金鑰的名稱前面。 然後,您的應用程式程式碼可以輕鬆載入特定租用戶的特定密碼值。
支援多租用戶的 Azure Key Vault 功能
標籤
Key Vault 支援使用自訂中繼資料標記密碼、憑證和金鑰,因此您可以使用標籤來追蹤每個特定租用戶密碼的租用戶識別碼。 但是,Key Vault 不支援按標籤查詢,因此此功能更適合用於管理目的,而非在應用程式邏輯中使用。
其他資訊:
Azure 原則支援
如果您決定部署大量保存庫,請務必確保它們遵循一致的網路存取設定、日誌記錄和存取控制標準。 請考慮使用 Azure Policy 來驗證保存庫是否已根據您的要求進行設定。
其他資訊:
受控 HSM 和專用 HSM
如果每秒鐘需要執行大量操作,且 Key Vault 作業限制不足,請考慮使用受控 HSM 或專用 HSM。 這兩種產品都為您提供了預留的容量,但它們通常比 Key Vault 更昂貴。 此外,要注意您在每個區域可以部署的這些服務執行個體的數量限制。
其他資訊:
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
- John Downs | 主任軟體工程師
其他投稿人:
- Jack Lichwa | Azure Key Vault 產品經理
- Arsen Vladimirskiy | 主任客戶工程師,FastTrack for Azure
若要查看非公開的 LinkedIn 設定檔,請登入 LinkedIn。
下一步
查看多租用戶的部署和設定方法。