Co je Azure Key Vault?What is Azure Key Vault?

Azure Key Vault pomáhá vyřešit následující problémy:Azure Key Vault helps solve the following problems:

  • Správa tajných klíčů – Azure Key Vault je možné využít k zabezpečenému ukládání tokenů, hesel, certifikátů, klíčů rozhraní API a dalších tajných klíčů a důsledné kontrole přístupu k nim.Secrets Management - Azure Key Vault can be used to Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets
  • Správa klíčů – Azure Key Vault se dá použít taky jako řešení pro správu klíčů.Key Management - Azure Key Vault can also be used as a Key Management solution. Azure Key Vault usnadňuje vytváření a správu šifrovacích klíčů sloužících k šifrování dat.Azure Key Vault makes it easy to create and control the encryption keys used to encrypt your data.
  • Správa certifikátů – Azure Key Vault je taky služba, která umožňuje snadné zřizování, správu a nasazování veřejných a privátních certifikátů SSL/TLS (Secure Sockets Layer/Transport Layer Security) pro použití s Azure a interními připojenými prostředky.Certificate Management - Azure Key Vault is also a service that lets you easily provision, manage, and deploy public and private Secure Sockets Layer/Transport Layer Security (SSL/TLS) certificates for use with Azure and your internal connected resources.
  • Ukládání tajných klíčů chráněných moduly hardwarového zabezpečení (HSM) – klíče a tajné klíče je možné chránit pomocí softwaru nebo modulů HSM ověřených podle standardu FIPS 140-2 Level 2.Store secrets backed by Hardware Security Modules - The secrets and keys can be protected either by software or FIPS 140-2 Level 2 validates HSMs

Proč používat Azure Key Vault?Why use Azure Key Vault?

Centralizace tajných klíčů aplikacíCentralize application secrets

Centralizace ukládání tajných klíčů aplikací ve službě Azure Key Vault umožňuje řídit jejich distribuci.Centralizing storage of application secrets in Azure Key Vault allows you to control their distribution. Key Vault výrazně snižuje riziko nechtěného úniku tajných klíčů.Key Vault greatly reduces the chances that secrets may be accidentally leaked. Při použití služby Key Vault už vývojáři aplikací nemusejí ukládat informace o zabezpečení ve svých aplikacích.When using Key Vault, application developers no longer need to store security information in their application. Není nutné ukládat informace o zabezpečení v aplikacích eliminuje nutnost udělat si tuto část kódu.Not having to store security information in applications eliminates the need to make this information part of the code. Aplikace se například může potřebovat připojit k databázi.For example, an application may need to connect to a database. Místo uložení připojovacího řetězce v kódu aplikace ho můžete bezpečně uložit do Key Vault.Instead of storing the connection string in the app's code, you can store it securely in Key Vault.

Vaše aplikace můžou zabezpečeně přistupovat k informacím, které potřebují, pomocí identifikátorů URI.Your applications can securely access the information they need by using URIs. Tyto identifikátory URI umožňují aplikacím načíst konkrétní verze tajného kódu.These URIs allow the applications to retrieve specific versions of a secret. Není nutné psát vlastní kód pro ochranu jakýchkoli tajných informací uložených v Key Vault.There is no need to write custom code to protect any of the secret information stored in Key Vault.

Bezpečné ukládání tajných klíčů a klíčůSecurely store secrets and keys

Tajné kódy a klíče jsou chráněné systémem Azure pomocí standardních algoritmů, délek klíčů a modulů hardwarového zabezpečení (HSM).Secrets and keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs). Použité moduly HMS jsou ověřené podle standardu FIPS (Federal Information Processing Standards) 140-2 Level 2.The HSMs used are Federal Information Processing Standards (FIPS) 140-2 Level 2 validated.

Pro přístup k trezoru klíčů se vyžaduje řádné ověření a autorizace volajícího (uživatel nebo aplikace).Access to a key vault requires proper authentication and authorization before a caller (user or application) can get access. Ověření určí identitu volajícího a autorizace následně určí, které operace má volající povoleno provádět.Authentication establishes the identity of the caller, while authorization determines the operations that they are allowed to perform.

Ověření se provádí prostřednictvím Azure Active Directory.Authentication is done via Azure Active Directory. Autorizace se může provádět prostřednictvím řízení přístupu na základě role (RBAC) nebo zásad přístupu trezoru klíčů.Authorization may be done via role-based access control (RBAC) or Key Vault access policy. RBAC se používá při správě trezorů a zásady přístupu trezoru klíčů se používají při pokusu o přístup k datům uloženým v trezoru.RBAC is used when dealing with the management of the vaults and key vault access policy is used when attempting to access data stored in a vault.

Trezory klíčů Azure můžou být chráněné softwarovým nebo hardwarovým modulem HSM.Azure Key Vaults may be either software- or hardware-HSM protected. Pro situace, kdy potřebujete lepší kontrolu, můžete v modulech hardwarového zabezpečení (HSM) importovat nebo generovat klíče, které nikdy neopustí hranice HSM.For situations where you require added assurance you can import or generate keys in hardware security modules (HSMs) that never leave the HSM boundary. Microsoft používá moduly hardwarového zabezpečení podpůrný software nCipher.Microsoft uses nCipher hardware security modules. Pomocí nástrojů podpůrný software nCipher můžete přesunout klíč ze svého modulu HARDWAROVÉho zabezpečení do Azure Key Vault.You can use nCipher tools to move a key from your HSM to Azure Key Vault.

Služba Azure Key Vault je navržená tak, aby Microsoft vaše data neviděl ani je nemohl extrahovat.Finally, Azure Key Vault is designed so that Microsoft does not see or extract your data.

Monitorování přístupu a využitíMonitor access and use

Po vytvoření několika trezorů klíčů budete chtít monitorovat, jak a kdy se k vašim klíčům a tajným klíčům přistupuje.Once you have created a couple of Key Vaults, you will want to monitor how and when your keys and secrets are being accessed. Aktivitu můžete sledovat povolením protokolování pro vaše trezory.You can monitor activity by enabling logging for your vaults. Ve službě Azure Key Vault můžete nakonfigurovat následující:You can configure Azure Key Vault to:

  • Archivace do účtu úložištěArchive to a storage account.
  • Streamování do centra událostíStream to an event hub.
  • Odešle protokoly do protokolů Azure Monitor.Send the logs to Azure Monitor logs.

Máte kontrolu nad svými protokoly, které můžete zabezpečit prostřednictvím omezení přístupu, a můžete také odstranit protokoly, které už nepotřebujete.You have control over your logs and you may secure them by restricting access and you may also delete logs that you no longer need.

Zjednodušená správa tajných klíčů aplikacíSimplified administration of application secrets

Pokud ukládáte cenná data, musíte provést několik kroků.When storing valuable data, you must take several steps. Bezpečnostní informace musí být zabezpečené, musí být v rámci životního cyklu, musí být vysoce dostupné.Security information must be secured, it must follow a life cycle, it must be highly available. Azure Key Vault zjednodušuje proces splnění těchto požadavků:Azure Key Vault simplifies the process of meeting these requirements by:

  • Odstraňuje potřebu interní znalosti modulů hardwarového zabezpečení.Removing the need for in-house knowledge of Hardware Security Modules
  • Rychle vertikálně navyšuje kapacitu s ohledem na špičky využití ve vaší organizaci.Scaling up on short notice to meet your organization’s usage spikes.
  • Replikuje obsah služby Key Vault v jedné oblasti do sekundární oblasti.Replicating the contents of your Key Vault within a region and to a secondary region. Replikace dat zajišťuje vysokou dostupnost a trvá od správce k aktivaci převzetí služeb při selhání potřebnou akci.Data replication ensures high availability and takes away the need of any action from the administrator to trigger the failover.
  • Poskytuje standardní možnosti správy Azure prostřednictvím portálu, Azure CLI nebo PowerShellu.Providing standard Azure administration options via the portal, Azure CLI and PowerShell.
  • Automatizuje určité úlohy prováděné s certifikáty, které jste zakoupili od veřejných certifikačních autorit, třeba jejich registraci a obnovení.Automating certain tasks on certificates that you purchase from Public CAs, such as enrollment and renewal.

Kromě toho trezory klíčů Azure umožňují oddělení tajných klíčů aplikací.In addition, Azure Key Vaults allow you to segregate application secrets. Aplikace mohou přistupovat pouze k trezoru, ke kterému mají povolen přístup, a mohou být omezeny pouze na provádění konkrétních operací.Applications may access only the vault that they are allowed to access, and they can be limited to only perform specific operations. Službu Azure Key Vault můžete vytvořit pro jednotlivé aplikace a omezit přístup k tajným klíčům uloženým ve službě Key Vault na konkrétní aplikaci a tým vývojářů.You can create an Azure Key Vault per application and restrict the secrets stored in a Key Vault to a specific application and team of developers.

Integrace s ostatními službami AzureIntegrate with other Azure services

V Azure se jako zabezpečené úložiště používá Key Vault k zjednodušení podobných scénářů:As a secure store in Azure, Key Vault has been used to simplify scenarios like:

Samotná služba Key Vault se může integrovat s účty úložiště, centry událostí a analytikou protokolů.Key Vault itself can integrate with storage accounts, event hubs, and log analytics.

Další krokyNext steps