Was ist der Azure-Schlüsseltresor?What is Azure Key Vault?

Mit Azure Key Vault lassen sich folgende Probleme lösen:Azure Key Vault helps solve the following problems:

  • Geheimnisverwaltung: Azure Key Vault ermöglicht die sichere Speicherung und präzise Steuerung des Zugriffs auf Token, Kennwörter, Zertifikate, API-Schlüssel und andere Geheimnisse.Secrets Management - Azure Key Vault can be used to Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets
  • Schlüsselverwaltung: Azure Key Vault kann auch als Schlüsselverwaltungslösung verwendet werden.Key Management - Azure Key Vault can also be used as a Key Management solution. Azure Key Vault vereinfacht das Erstellen und Verwalten der zur Verschlüsselung Ihrer Daten verwendeten Verschlüsselungsschlüssel.Azure Key Vault makes it easy to create and control the encryption keys used to encrypt your data.
  • Zertifikatverwaltung: Darüber hinaus können Sie mit dem Azure Key Vault-Dienst komfortabel öffentliche und private SSL-/TLS-Zertifikate (Secure Sockets Layer/Transport Layer Security) für die Verwendung mit Azure und Ihren internen verbundenen Ressourcen bereitstellen und verwalten.Certificate Management - Azure Key Vault is also a service that lets you easily provision, manage, and deploy public and private Secure Sockets Layer/Transport Layer Security (SSL/TLS) certificates for use with Azure and your internal connected resources.
  • Speichern von Geheimnissen mit Unterstützung durch Hardwaresicherheitsmodule: Die Geheimnisse und Schlüssel können entweder per Software oder mit FIPS 140-2 Level 2 HSMs geschützt werden.Store secrets backed by Hardware Security Modules - The secrets and keys can be protected either by software or FIPS 140-2 Level 2 validates HSMs

Gründe für die Verwendung von Azure Key VaultWhy use Azure Key Vault?

Zentralisieren von AnwendungsgeheimnissenCentralize application secrets

Durch die zentralisierte Speicherung von Anwendungsgeheimnissen in Azure Key Vault können Sie deren Verteilung steuern.Centralizing storage of application secrets in Azure Key Vault allows you to control their distribution. Mit Key Vault lässt sich das Risiko einer unbeabsichtigten Weitergabe von Geheimnissen erheblich senken.Key Vault greatly reduces the chances that secrets may be accidentally leaked. Dank Key Vault müssen Anwendungsentwickler Sicherheitsinformationen nicht mehr in der Anwendung speichern.When using Key Vault, application developers no longer need to store security information in their application. Wenn Sicherheitsinformationen nicht mehr in Anwendungen gespeichert werden müssen, entfällt die Notwendigkeit, diese Informationen in den Code einzubinden.Not having to store security information in applications eliminates the need to make this information part of the code. Ein Beispiel: Angenommen, eine Anwendung muss eine Verbindung mit einer Datenbank herstellen.For example, an application may need to connect to a database. Anstatt die Verbindungszeichenfolge im App-Code zu speichern, können Sie diese sicher in Key Vault speichern.Instead of storing the connection string in the app's code, you can store it securely in Key Vault.

Ihre Anwendungen können mithilfe von URIs sicher auf benötigte Informationen zugreifen.Your applications can securely access the information they need by using URIs. Diese URIs bieten den Anwendungen die Möglichkeit, bestimmte Versionen eines geheimen Schlüssels abzurufen.These URIs allow the applications to retrieve specific versions of a secret. Sie müssen keinerlei benutzerdefinierten Code schreiben, um die geheimen Informationen zu schützen, die in Key Vault gespeichert sind.There is no need to write custom code to protect any of the secret information stored in Key Vault.

Sicheres Speichern von Geheimnissen und SchlüsselnSecurely store secrets and keys

Geheimnisse und Schlüssel werden mit branchenüblichen Algorithmen, Schlüssellängen und Hardwaresicherheitsmodulen (HSMs) von Azure geschützt.Secrets and keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs). Die verwendeten HSMs erfüllen die Anforderungen von FIPS 140-2, Level 2 (Federal Information Processing Standards).The HSMs used are Federal Information Processing Standards (FIPS) 140-2 Level 2 validated.

Ein Aufrufer (Benutzer oder Anwendung) kann erst nach ordnungsgemäßer Authentifizierung und Autorisierung auf einen Schlüsseltresor zugreifen.Access to a key vault requires proper authentication and authorization before a caller (user or application) can get access. Bei der Authentifizierung wird die Identität des Aufrufers ermittelt. Bei der Autorisierung wird dagegen bestimmt, welche Vorgänge der Aufrufer ausführen darf.Authentication establishes the identity of the caller, while authorization determines the operations that they are allowed to perform.

Die Authentifizierung erfolgt über Azure Active Directory.Authentication is done via Azure Active Directory. Für die Autorisierung kann die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) oder eine Key Vault-Zugriffsrichtlinie verwendet werden.Authorization may be done via role-based access control (RBAC) or Key Vault access policy. RBAC kommt bei der Verwaltung der Tresore zum Einsatz. Eine Key Vault-Zugriffsrichtlinie wird für den Zugriff auf gespeicherte Daten in einem Tresor verwendet.RBAC is used when dealing with the management of the vaults and key vault access policy is used when attempting to access data stored in a vault.

Azure Key Vault-Instanzen können durch Software oder Hardware (HSM) geschützt werden.Azure Key Vaults may be either software- or hardware-HSM protected. In Szenarien mit erhöhten Sicherheitsanforderungen können Sie Schlüssel in Hardwaresicherheitsmodule (HSMs) importieren oder darin generieren. Diese Schlüssel bleiben immer innerhalb der HSM-Grenzen.For situations where you require added assurance you can import or generate keys in hardware security modules (HSMs) that never leave the HSM boundary. Microsoft verwendet Hardwaresicherheitsmodule von nCipher.Microsoft uses nCipher hardware security modules. Sie können nCipher-Tools verwenden, um einen Schlüssel aus Ihrem HSM zu Azure Key Vault zu verschieben.You can use nCipher tools to move a key from your HSM to Azure Key Vault.

Darüber hinaus ist Azure Key Vault so konzipiert, dass Ihre Daten von Microsoft weder angezeigt noch extrahiert werden können.Finally, Azure Key Vault is designed so that Microsoft does not see or extract your data.

Überwachen von Zugriff und VerwendungMonitor access and use

Nachdem Sie eine Reihe von Key Vault-Instanzen erstellt haben, können Sie überwachen, wie und wann auf Ihre Schlüssel und Geheimnisse zugegriffen wird.Once you have created a couple of Key Vaults, you will want to monitor how and when your keys and secrets are being accessed. Durch das Aktivieren der Protokollierung für Ihre Tresore können Sie Aktivitäten überwachen.You can monitor activity by enabling logging for your vaults. Azure Key Vault kann für Folgendes konfiguriert werden:You can configure Azure Key Vault to:

  • Archivieren in einem SpeicherkontoArchive to a storage account.
  • Streamen an einen Event HubStream to an event hub.
  • Senden der Protokolle an Azure Monitor-ProtokolleSend the logs to Azure Monitor logs.

Sie haben die Kontrolle über Ihre Protokolle: Sie können den Zugriff auf Protokolle einschränken, um sie zu schützen, und Sie können nicht mehr benötigte Protokolle löschen.You have control over your logs and you may secure them by restricting access and you may also delete logs that you no longer need.

Einfachere Verwaltung von AnwendungsgeheimnissenSimplified administration of application secrets

Beim Speichern wertvoller Daten sind mehrere Punkte zu berücksichtigen:When storing valuable data, you must take several steps. Sicherheitsinformationen müssen geschützt, hochverfügbar und mit einem für sie festgelegten Lebenszyklus versehen sein.Security information must be secured, it must follow a life cycle, it must be highly available. Azure Key Vault vereinfacht das Erfüllen dieser Anforderungen durch:Azure Key Vault simplifies the process of meeting these requirements by:

  • Beseitigung des Bedarfs für interne Kenntnisse von Hardware-SicherheitsmodellenRemoving the need for in-house knowledge of Hardware Security Modules
  • Kurzfristige zentrale Hochskalierung zur Abdeckung von Auslastungsspitzen Ihrer OrganisationScaling up on short notice to meet your organization’s usage spikes.
  • Replikation des Inhalts Ihrer Key Vault-Instanz innerhalb einer Region und in einer sekundären Region.Replicating the contents of your Key Vault within a region and to a secondary region. Die Datenreplikation gewährleistet die Hochverfügbarkeit der Informationen, und ein Failover kann ganz ohne Eingriff des Administrators ausgelöst werden.Data replication ensures high availability and takes away the need of any action from the administrator to trigger the failover.
  • Bereitstellung standardmäßiger Azure-Verwaltungsoptionen über das Portal, die Azure-Befehlszeilenschnittstelle und PowerShellProviding standard Azure administration options via the portal, Azure CLI and PowerShell.
  • Automatisierung bestimmter Aufgaben im Zusammenhang mit Zertifikaten, die Sie von öffentlichen Zertifizierungsstellen erwerben (z.B. Registrierung und Verlängerung)Automating certain tasks on certificates that you purchase from Public CAs, such as enrollment and renewal.

Darüber hinaus können Azure Key Vault-Instanzen auch zur Isolierung von Anwendungsgeheimnissen verwendet werden.In addition, Azure Key Vaults allow you to segregate application secrets. Anwendungen können nur auf den Tresor zugreifen, für den sie zugriffsberechtigt sind, und die ausführbaren Vorgänge können auf bestimmte Vorgänge beschränkt werden.Applications may access only the vault that they are allowed to access, and they can be limited to only perform specific operations. Sie können eine Azure Key Vault-Instanz pro Anwendung erstellen und die in einer Key Vault-Instanz gespeicherten Geheimnisse auf eine bestimmte Anwendung und ein bestimmtes Entwicklerteam beschränken.You can create an Azure Key Vault per application and restrict the secrets stored in a Key Vault to a specific application and team of developers.

Integrieren in andere Azure-DiensteIntegrate with other Azure services

Als sicherer Speicher in Azure wurde Key Vault u. a. zur Vereinfachung folgender Szenarien verwendet:As a secure store in Azure, Key Vault has been used to simplify scenarios like:

Key Vault selbst kann in Speicherkonten, Event Hubs und Protokollanalysen integriert werden.Key Vault itself can integrate with storage accounts, event hubs, and log analytics.

Nächste SchritteNext steps