Az Azure Key Vault alapfogalmai
Az Azure Key Vault egy felhőszolgáltatás a titkos kódok biztonságos tárolására és elérésére. A titkos kód minden, amelyhez szigorúan szabályozni szeretné a hozzáférést, például API-kulcsokat, jelszavakat, tanúsítványokat vagy titkosítási kulcsokat. Key Vault szolgáltatás két tárolótípust támogat: tárolókat és felügyelt hardveres biztonsági modulkészleteket (HSM). A tárolók támogatják a szoftveres és HSM-alapú kulcsok, titkos kódok és tanúsítványok tárolását. A felügyelt HSM-készletek csak a HSM-alapú kulcsokat támogatják. A részletekért tekintse meg az Azure Key Vault REST API áttekintését.
Íme néhány további fontos kifejezés:
Bérlő: A bérlő az a cég vagy intézmény, amely egy Microsoft-felhőszolgáltatás egy adott példányát birtokolja és kezeli. Leggyakrabban egy szervezet Azure- és Microsoft 365-szolgáltatásainak halmazára hivatkoznak.
Kulcstartó-tulajdonos: Létrehozhat egy Key Vaultot, amely felett teljes körű hozzáféréssel és irányítással rendelkezik. Emellett naplózást is beállíthat, amellyel naplózhatja a titkos kulcsok és a kulcsok elérését. A kulcsok életciklusát a rendszergazdák kezelhetik. Kiadhatnak új kulcsverziókat, biztonsági másolatokat készíthetnek, és elvégezhetik a kapcsolódó feladatokat.
Kulcstartóhasználó: A kulcstartóhasználó műveleteket hajthat végre a Key Vaultban található objektumokon, ha a kulcstartó-tulajdonos felruházta hozzáféréssel. Az elérhető műveletek a kiosztott jogosultságoktól függnek.
Felügyelt HSM-rendszergazdák: A rendszergazdai szerepkörrel rendelkező felhasználók teljes körűen szabályozhatják a felügyelt HSM-készletet. További szerepkör-hozzárendeléseket hozhatnak létre, hogy szabályozott hozzáférést delegáljanak más felhasználók számára.
Felügyelt HSM kriptográfiai tisztviselő/felhasználó: Olyan beépített szerepkörök, amelyek általában olyan felhasználókhoz vagy szolgáltatásnevekhez vannak hozzárendelve, amelyek titkosítási műveleteket hajtanak végre a felügyelt HSM kulcsainak használatával. A kriptográfiai felhasználó létrehozhat új kulcsokat, de nem törölheti a kulcsokat.
Felügyelt HSM titkosítási szolgáltatás titkosítási felhasználója: Beépített szerepkör, amely általában szolgáltatásfiókok felügyeltszolgáltatás-identitásához (például Storage fiókhoz) van rendelve az inaktív adatok ügyfél által kezelt kulccsal történő titkosításához.
Erőforrás: Az erőforrás egy olyan kezelhető elem, amely az Azure-on keresztül érhető el. Gyakori példák a virtuális gép, a tárfiók, a webalkalmazás, az adatbázis és a virtuális hálózat. Sok más is van.
Erőforráscsoport: Az erőforráscsoport egy tároló, amely Azure-megoldásokhoz kapcsolódó erőforrásokat tárol. Az erőforráscsoport tartalmazhatja a megoldás összes erőforrását, vagy csak azokat az erőforrásokat, amelyeket Ön egy csoportként szeretne kezelni. A cég számára legideálisabb elosztás alapján eldöntheti, hogyan szeretné elosztani az erőforrásokat az erőforráscsoportok között.
Rendszerbiztonsági tag: Az Azure-beli rendszerbiztonsági tagok olyan biztonsági identitások, amelyeket a felhasználó által létrehozott alkalmazások, szolgáltatások és automatizálási eszközök használnak adott Azure-erőforrások eléréséhez. Tekintsük úgy, mint egy adott szerepkörrel és szigorúan ellenőrzött engedélyekkel rendelkező "felhasználói identitást" (felhasználónevet és jelszót vagy tanúsítványt). A rendszerbiztonsági tagoknak csak bizonyos műveleteket kell végrehajtaniuk, ellentétben az általános felhasználói identitásokkal. Javítja a biztonságot, ha csak a felügyeleti feladatok elvégzéséhez szükséges minimális jogosultsági szintet adja meg. Az alkalmazásokkal vagy szolgáltatásokkal használt rendszerbiztonsági tagokat kifejezetten szolgáltatásnévnek nevezzük.
Azure Active Directory (Azure AD): Az Azure AD egy bérlő Active Directory-szolgáltatása. Minden címtárhoz tartozik egy vagy több tartomány. Egy címtárhoz számos előfizetés tartozhat, de csak egyetlen bérlő.
Azure-bérlő azonosítója: A bérlőazonosító egy egyedi módszer az Azure AD-példány azonosítására az Azure-előfizetésen belül.
Felügyelt identitások: Az Azure Key Vault lehetővé teszi a hitelesítő adatok és más kulcsok és titkos kulcsok biztonságos tárolását, de a kódnak hitelesítenie kell magát, hogy Key Vault lekérhesse őket. A felügyelt identitás használata egyszerűbbé teszi a probléma megoldását azáltal, hogy automatikusan felügyelt identitást biztosít az Azure-szolgáltatásoknak az Azure AD-ben. Ezzel az identitással anélkül végezhet hitelesítést a Key Vaultban vagy bármely, Azure AD-hitelesítést támogató szolgáltatásban, hogy a hitelesítő adatokat a kódban kellene tárolnia. További információkért tekintse meg az alábbi képet és az Azure-erőforrások felügyelt identitásainak áttekintését.
Hitelesítés
A Key Vault végzett műveletek elvégzéséhez először hitelesítenie kell azt. A Key Vault háromféleképpen hitelesíthető:
- Felügyelt identitások Az Azure-erőforrásokhoz: Amikor alkalmazást helyez üzembe egy Azure-beli virtuális gépen, hozzárendelhet egy identitást a virtuális géphez, amely hozzáféréssel rendelkezik a Key Vault. Identitásokat más Azure-erőforrásokhoz is hozzárendelhet. Ennek a megközelítésnek az az előnye, hogy az alkalmazás vagy szolgáltatás nem kezeli az első titkos kód rotációját. Az Azure automatikusan elforgatja az identitást. Ajánlott eljárásként ezt a megközelítést javasoljuk.
- Szolgáltatásnév és tanúsítvány: Használhat egy szolgáltatásnevet és egy társított tanúsítványt, amely hozzáféréssel rendelkezik a Key Vault. Ezt a módszert nem javasoljuk, mert az alkalmazás tulajdonosának vagy fejlesztőjének el kell forgatnia a tanúsítványt.
- Szolgáltatásnév és titkos kód: Bár használhat szolgáltatásnevet és titkos kódot a Key Vault hitelesítéséhez, nem javasoljuk. Nehéz automatikusan elforgatni a Key Vault hitelesítéséhez használt bootstrap-titkos kódot.
Az átvitel alatt álló adatok titkosítása
Az Azure Key Vault a Transport Layer Security (TLS) protokollt kényszeríti ki az adatok védelmére az Azure Key Vault és az ügyfelek közötti utazás során. Az ügyfelek TLS-kapcsolatot egyeztetnek az Azure Key Vault. A TLS erős hitelesítést, üzenetvédelmet és integritást biztosít (lehetővé teszi az üzenetek illetéktelen módosításának, elfogásának és hamisításának észlelését), az együttműködési képességet, az algoritmus rugalmasságát, valamint az üzembe helyezés és használat egyszerűségét.
A tökéletes titkosság (PFS) egyedi kulcsokkal védi az ügyfelek ügyfélrendszerei és a Microsoft felhőszolgáltatásai közötti kapcsolatokat. A kapcsolatok RSA-alapú, 2048 bites titkosítási kulcshosszt is használnak. Ez a kombináció megnehezíti az átvitt adatok elfogását és elérését.
Key Vault-szerepkörök
Az alábbi táblázat segítségével jobban megértheti, hogyan segíti a Key Vault a fejlesztők és a biztonsági rendszergazdák igényeinek kielégítését.
| Szerepkör | Probléma leírása | Az Azure Key Vault megoldása |
|---|---|---|
| Azure-alkalmazásfejlesztő | "Olyan alkalmazást szeretnék írni az Azure-hoz, amely kulcsokat használ az aláíráshoz és a titkosításhoz. Azt szeretném azonban, hogy ezek a kulcsok külsőek legyenek az alkalmazásomból, hogy a megoldás megfelelő legyen egy földrajzilag elosztott alkalmazáshoz. Azt szeretném, hogy ezek a kulcsok és titkos kulcsok el legyenek látva védelemmel, anélkül, hogy meg kellene írnom a kódot. Azt is szeretném, hogy ezek a kulcsok és titkos kódok könnyen használhatók legyenek az alkalmazásaimból, optimális teljesítménnyel." |
√ A kulcsok tárolása tárolóban történik, és szükség esetén egy URI segítségével lehet előhívni őket. √ A kulcsok számára az Azure biztosít védelmet az ipari szabványoknak megfelelő algoritmusok, kulcshosszok és hardveres biztonsági modulok segítségével. √ A kulcsok feldolgozása hardveres biztonsági modulokban történik, amelyek ugyanazokban az Azure-adatközpontokban találhatók, mint az alkalmazások. Ez a módszer nagyobb megbízhatóságot és kisebb késést eredményez ahhoz képest, mintha a kulcsok egy külön helyen, például a helyszínen lennének. |
| Szolgáltatott szoftverek fejlesztője (SaaS-fejlesztő) | "Nem akarom az ügyfeleim bérlői kulcsainak és titkos kulcsainak felelősségét vagy esetleges felelősségét. Azt akarom, hogy az ügyfelek birtokolják és kezeljék a kulcsaikat, hogy arra koncentrálhassak, amit a legjobban csinálok, ami az alapvető szoftverfunkciókat biztosítja." |
√ Az ügyfelek importálhatják a saját kulcsaikat az Azure rendszerbe, és kezelhetik őket. Ha egy SaaS-alkalmazásnak kriptográfiai műveleteket kell végrehajtania az ügyfelek kulcsainak használatával, Key Vault az alkalmazás nevében hajtja végre ezeket a műveleteket. Az alkalmazás nem látja az ügyfelek kulcsait. |
| Biztonsági vezető (CSO) | "Szeretném tudni, hogy alkalmazásaink megfelelnek a FIPS 140-2 2. vagy a FIPS 140-2 3. szintű HSM-eknek a biztonságos kulcskezelés érdekében. Biztos szeretnék lenni abban is, hogy a cégünk kézben tartja a kulcsok életciklusát, valamint meg tudja figyelni a kulcshasználatot. És bár több Azure-szolgáltatást és -erőforrást használunk, egyetlen helyről szeretném kezelni a kulcsokat az Azure-ban." |
√ A FIPS 140-2 2. szintű ellenőrzött HSM-ekhez válassza ki a tárolókat . √ Felügyelt HSM-készletek kiválasztása a FIPS 140–2 3. szintű ellenőrzött HSM-ekhez. √ A Key Vault kialakításának köszönhetően a Microsoft nem tekintheti meg, illetve nem nyerheti ki a kulcsokat. √ A kulcshasználatot közel valós időben naplózza rendszer. √ A tároló egyetlen felületet biztosít függetlenül attól, hogy Ön hány tárolóval rendelkezik az Azure rendszerben, ezek mely régiókat támogatják, illetve mely alkalmazások használják őket. |
Azure-előfizetés birtokában bárki létrehozhat és használhat kulcstárolót. Bár Key Vault a fejlesztők és a biztonsági rendszergazdák számára előnyös, a szervezet más Azure-szolgáltatásokat kezelő rendszergazdája implementálhatja és felügyelheti. Ez a rendszergazda például bejelentkezhet egy Azure-előfizetéssel, létrehozhat egy tárolót annak a szervezetnek, amelyben kulcsokat tárolhat, majd az alábbihoz hasonló üzemeltetési feladatokért felelhet:
- A kulcsok vagy titkos kulcsok létrehozása és importálása
- A kulcsok vagy titkos kulcsok visszavonása, illetve törlése
- A felhasználók vagy alkalmazások feljogosítása a kulcstárolóhoz való hozzáférésre, hogy azután kezelhessék és használhassák a benne tárolt kulcsokat és titkos kulcsokat
- A kulcshasználat konfigurálása (például aláíráshoz vagy titkosításhoz)
- A kulcshasználat figyelése
Ez a rendszergazda ezután URI-kat ad a fejlesztőknek, hogy az alkalmazásaikból hívjanak. Ez a rendszergazda a kulcshasználat naplózási adatait is megadja a biztonsági rendszergazdának.
A fejlesztők közvetlenül is kezelhetik a kulcsokat API-k használatával. További információkért tekintse meg a Key Vault fejlesztői útmutatóját.
Következő lépések
- Ismerje meg az Azure Key Vault biztonsági funkcióit.
- Ismerje meg, hogyan védheti meg a felügyelt HSM-készleteket
Az Azure Key Vault a legtöbb régióban elérhető. További információ: A Key Vault díjszabása.