Az Azure Key Vault bemutatása

  • Cikk

Az Azure Key Vault az Azure számos kulcskezelési megoldásának egyike, és segít megoldani a következő problémákat:

  • Titkos kódok kezelése – Az Azure Key Vaulttal biztonságosan tárolhatók a jogkivonatok, jelszavak, tanúsítványok, API-kulcsok és egyéb titkos kulcsok, valamint szigorúan szabályozható az ezekhez való hozzáférés
  • Kulcskezelés – Az Azure Key Vault kulcskezelési megoldásként használható. Az Azure Key Vaulttal egyszerűen létrehozhatja és vezérelheti az adatok titkosításához használt titkosítási kulcsokat.
  • Tanúsítványkezelés – Az Azure Key Vault lehetővé teszi a nyilvános és privát Transport Layer Security/Secure Sockets Layer (TLS/SSL) tanúsítványok egyszerű kiépítését, kezelését és üzembe helyezését az Azure-hoz és a belső csatlakoztatott erőforrásokhoz.

Az Azure Key Vault két szolgáltatási szinttel rendelkezik: Standard, amely szoftverkulccsal és prémium szintű titkosítással rendelkezik, amely hardveres biztonsági modullal (HSM) védett kulcsokat tartalmaz. A standard és a prémium szintű szintek összehasonlítását az Azure Key Vault díjszabási oldalán tekinthet meg.

Feljegyzés

Teljes felügyelet egy biztonsági stratégia, amely három alapelvből áll: "Ellenőrzés explicit módon", "A legkevésbé jogosultsági hozzáférés használata" és a "Behatolás feltételezése". Az adatvédelem, beleértve a kulcskezelést is, támogatja a "legkevésbé jogosultsági hozzáférés használata" elvet. További információ: Mi Teljes felügyelet?

Miért érdemes az Azure Key Vaultot használni?

Titkos alkalmazáskulcsok központosítása

A titkos alkalmazáskulcsok tárolásának központosítása az Azure Key Vaultban lehetővé teszi azok elosztásának irányítását. A Key Vault nagymértékben csökkenti a veszélyét annak, hogy a titkos kulcsok véletlenül kiszivárogjanak. Amikor az alkalmazásfejlesztők a Key Vaultot használják, többé nem kell biztonsági információkat tárolniuk az alkalmazásukban. Ha nem kell biztonsági információkat tárolnia az alkalmazásokban, azzal szükségtelenné teszi, hogy ezeket az információkat a kód részévé tegye. Tegyük fel például, hogy egy alkalmazásnak egy adatbázishoz kell csatlakoznia. A kapcsolati sztring az alkalmazás kódjában való tárolása helyett biztonságosan tárolhatja a Key Vaultban.

Az alkalmazások URI-k használatával biztonságosan hozzáférhetnek a szükséges információkhoz. Ezek az URI-k lehetővé teszik, hogy az alkalmazások lekérjenek egy titkos kód bizonyos verzióit. A Key Vaultban tárolt titkos adatok védelméhez nincs szükség egyéni kód írására.

A titkos kulcsok és a kulcsok biztonságos tárolása

A kulcstartóhoz való hozzáférés előtt a hívónak (felhasználónak vagy alkalmazásnak) megfelelő hitelesítésre és engedélyezésre van szüksége. A hitelesítés létrehozza a hívó identitását, míg az engedélyezés határozza meg, hogy milyen műveleteket hajthatnak végre.

A hitelesítés a Microsoft Entra-azonosítón keresztül történik. Az engedélyezés azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) vagy Key Vault hozzáférési szabályzattal végezhető el. Az Azure RBAC a tárolók kezelésére és a tárolókban tárolt adatok elérésére egyaránt használható, míg a Key Vault hozzáférési szabályzata csak a tárolóban tárolt adatok elérésekor használható.

Az Azure Key Vaultok szoftveres védelemmel vagy az Azure Key Vault prémium szintű hardveres biztonsági modulokkal (HSM-ekkel) védettek lehetnek. A szoftveresen védett kulcsokat, titkos kulcsokat és tanúsítványokat az Azure védi iparági szabványoknak megfelelő algoritmusok és kulcshosszok használatával. Olyan helyzetekben, amikor további biztosítékra van szükség, importálhat vagy hozhat létre olyan kulcsokat a HSM-ekben, amelyek soha nem hagyják el a HSM-határt. Az Azure Key Vault a Federal Information Processing Standard 140 által ellenőrzött HSM-eket használja. A HSM-szállító által biztosított eszközökkel áthelyezhet egy kulcsot a HSM-ből az Azure Key Vaultba.

Végül az Azure Key Vault úgy lett kialakítva, hogy a Microsoft ne lássa és ne nyerje ki az adatokat.

A hozzáférés és használat monitorozása

Miután létrehozott néhány Key Vaultot, figyelnie kell a kulcsok és titkos kulcsok elérésének módját és állapotát. A tevékenység figyeléséhez engedélyezze a tárolók naplózását. Az Azure Key Vaultot beállíthatja az alábbiak elvégzésére:

  • Archiválás tárfiókba.
  • Streamelés eseményközpontba.
  • Küldje el a naplókat az Azure Monitor-naplókba.

Engedélyekkel rendelkezik a naplók felett, és meg is védheti őket a hozzáférés korlátozásával, illetve törölheti azokat a naplókat, amelyekre már nincs szüksége.

A titkos alkalmazáskulcsok egyszerűsített adminisztrációja

Értékes adatok tárolásakor el kell végeznie néhány lépést. A biztonsági információkat védeni kell, életciklust kell követnie, és magas rendelkezésre állásúnak kell lennie. Az Azure Key Vault a következőkkel egyszerűsíti a követelmények teljesítését:

  • Nincs szükség a hardveres biztonsági modulok belső ismeretére.
  • Rövid időn belül felskálázható, hogy megfeleljen a szervezet használati csúcsainak.
  • A kulcstartója tartalmát egy régión belül és egy másodlagos régióba replikálja. Az adatreplikálás biztosítja a magas rendelkezésre állást, és elveszi a rendszergazda minden műveletének szükségességét a feladatátvétel aktiválásához.
  • Standard Azure felügyeleti lehetőségeket biztosít a Portal, az Azure CLI és a PowerShell segítségével.
  • Automatizálja a nyilvános hitelesítésszolgáltatóktól vásárolt tanúsítványokon elvégzett egyes műveleteket, például a regisztrálást és a megújítást.

Továbbá az Azure Key Vault-kulcstartók lehetővé teszik a titkos alkalmazáskulcsok elkülönítését. Az alkalmazások csak azt a tárolót érhetik el, amelyhez hozzáférésük van, és csak adott műveletek végrehajtására korlátozhatók. Alkalmazásonként egy Azure Key Vault-kulcstárolót hozhat létre, és a benne tárolt titkos kulcsok használatát csak egy adott alkalmazásra és fejlesztői csapatra korlátozhatja.

Integráció más Azure-szolgáltatásokkal

Az Azure-ban biztonságos tárolóként a Key Vault a következő forgatókönyvek leegyszerűsítésére szolgál:

A Key Vault integrálható tárfiókokkal, eseményközpontokkal és a naplóelemzéssel.

Következő lépések