關於 Azure Key Vault
Azure Key Vault 是數個 Azure 中的主要管理解決方案之一,可協助解決下列問題:
- 祕密管理 - Azure Key Vault 可以安全地儲存和嚴格控制對權杖、密碼、憑證、API 金鑰及其他祕密的存取
- 金鑰管理 - Azure Key Vault 可以作為金鑰管理解決方案。 Azure Key Vault 可讓您輕鬆建立和控制用來加密資料的加密金鑰。
- 憑證管理 - Azure Key Vault 可讓您輕鬆佈建、管理及部署公用和私人傳輸層安全性/安全通訊端層 (TLS/SSL) 憑證,以用於 Azure 和內部連線的資源。
Azure Key Vault 有兩個服務層級:標準層,使用軟體金鑰進行加密;以及進階層,其中包含受硬體安全模組 (HSM) 保護的金鑰。 若要查看標準層與進階層之間的比較,請參閱 Azure Key Vault 定價頁面。
為何使用 Azure Key Vault?
集中管理應用程式祕密
在 Azure Key Vault 中集中儲存應用程式祕密,可讓您控制其散發。 Key Vault 可大幅降低不小心洩露祕密的風險。 當應用程式開發人員使用 Key Vault 時,他們不再需要在其應用程式中儲存安全性資訊。 不需將安全性資訊儲存在應用程式中,就不需要讓此資訊成為程式碼的一部分。 例如,應用程式可能需要連線到資料庫。 您可以在 Key Vault 中妥善儲存連接字串,而不用在應用程式的程式碼中儲存連接字串。
您的應用程式可以使用 URI 安全地存取其所需的資訊。 這些 URI 可讓應用程式擷取特定版本的祕密。 您不需要撰寫自訂程式碼來保護 Key Vault 中儲存的任何祕密資訊。
安全地儲存祕密和金鑰
Key Vault 的存取權需要先經過適當的驗證和授權,呼叫者 (使用者或應用程式) 才能取得存取權。 驗證會建立呼叫者的身分識別,授權則會判斷呼叫者可以執行的作業。
驗證會透過 Microsoft Entra ID 來完成。 授權可透過 Azure 角色型存取控制 (Azure RBAC) 或 Key Vault 存取原則來完成。 Azure RBAC 可用於管理保存庫及存取儲存在保存庫中的資料,而金鑰保存庫存取原則只能在嘗試存取儲存在保存庫中的資料時使用。
Azure Key Vault 可能受軟體保護或搭配 Azure Key Vault 進階層,讓硬體受到硬體安全模組 (HSM) 保護。 Azure 會使用業界標準演算法和金鑰長度,來保護受軟體保護的金鑰、祕密和憑證。 在您需要加強保證的情況下,您可以在 HSM 中匯入或產生無需離開 HSM 界限的金鑰。 Azure Key Vault 會使用聯邦資訊處理標準 140 已驗證的 HSM。 您可以使用 HSM 廠商提供的工具來將金鑰從您的 HSM 移至 Azure Key Vault。
最後,Azure Key Vault 依設計會使 Microsoft 無法看見或擷取您的資料。
監視存取和使用
在您建立一些 Key Vault 之後,您會想要監視存取金鑰和祕密的方式和時機。 您可以藉由啟用保存庫的記錄來監視活動。 您可以將 Azure Key Vault 設定為:
- 封存至儲存體帳戶。
- 串流處理至事件中樞。
- 將記錄傳送至 Azure 監視器記錄。
您可以控制您的記錄,藉由限制存取權來保護它們,也可以刪除您不再需要的記錄。
已簡化應用程式祕密的管理
儲存有價值的資料時,您必須採取數個步驟。 安全性資訊必須受到保護,其必須遵循生命週期,而且必須保持高可用性。 Azure Key Vault 可藉由下列功能,簡化符合這些需求的程序:
- 無需具備硬體安全性模組的內部知識。
- 在短時間內擴大,以符合組織的使用尖峰。
- 將區域內的 Key Vault 內容複寫到次要區域。 資料複寫可確保高可用性,並可讓管理員無須執行任何動作來觸發容錯移轉。
- 透過入口網站、Azure CLI 和 PowerShell 提供標準 Azure 系統管理選項。
- 自動對向公開 CA 購買的憑證執行一些作業,例如註冊或續約。
此外,Azure Key Vault 可讓您隔離應用程式祕密。 應用程式只能存取其有權存取的保存庫,且可能限定為只能執行特定作業。 您可以為每個應用程式建立 Azure Key Vault,並將 Key Vault 中儲存的祕密限制於特定應用程式和開發人員小組。
與其他 Azure 服務整合
Key Vault 是 Azure 中的安全存放區,常用來簡化如下的案例:
- Azure 磁碟加密
- SQL 伺服器和 Azure SQL Database 中的一律加密和透明資料加密功能
- Azure App Service。
Key Vault 本身可與儲存體帳戶、事件中樞和記錄分析整合。