Információk az Azure Key Vaultról

Azure Key Vault a következő problémákat segít megoldani:

  • Titkos kódok kezelése – Az Azure Key Vaulttal biztonságosan tárolhatók a jogkivonatok, jelszavak, tanúsítványok, API-kulcsok és egyéb titkos kulcsok, valamint szigorúan szabályozható az ezekhez való hozzáférés
  • Kulcskezelés – Azure Key Vault használható kulcskezelési megoldásként. Az Azure Key Vaulttal egyszerűen létrehozhatja és vezérelheti az adatok titkosításához használt titkosítási kulcsokat.
  • Tanúsítványkezelés – Azure Key Vault lehetővé teszi nyilvános és privát Transport Layer Security/SSL(TLS/SSL) tanúsítványok egyszerű üzembe helyezését, kezelését és üzembe helyezését az Azure-ral és a belső csatlakoztatott erőforrásokkal való használatra.

Azure Key Vault csomag két szolgáltatási szintből áll: a Standard, amely egy szoftverk kulccsal titkosít, valamint egy Prémium-réteg, amely hardveres biztonsági modullal (HSM) védett kulcsokat tartalmaz. A Standard és a Prémium összehasonlítását a díjszabást Azure Key Vault oldalon láthatja.

Miért érdemes az Azure Key Vaultot használni?

Titkos alkalmazáskulcsok központosítása

A titkos alkalmazáskulcsok tárolásának központosítása az Azure Key Vaultban lehetővé teszi azok elosztásának irányítását. A Key Vault nagymértékben csökkenti a veszélyét annak, hogy a titkos kulcsok véletlenül kiszivárogjanak. A Key Vault használatával az alkalmazásfejlesztőknek többé nem kell az alkalmazásban tárolniuk a biztonsági információkat. Ha nem kell biztonsági adatokat tárolnia az alkalmazásokban, nincs szükség arra, hogy ez az információ a kód része legyen. Tegyük fel például, hogy egy alkalmazásnak egy adatbázishoz kell csatlakoznia. Ahelyett, hogy a kapcsolati sztringet az alkalmazás kódjában tároljuk, biztonságosan tárolhatja a Key Vault.

Az alkalmazások URI-k használatával biztonságosan hozzáférhetnek a szükséges információkhoz. Ezek az URI-k lehetővé teszik, hogy az alkalmazások lekérik a titkos adatok adott verzióit. Nem kell egyéni kódot írnia a kódban tárolt titkos adatok védelméhez, Key Vault.

A titkos kulcsok és a kulcsok biztonságos tárolása

A kulcstartóhoz való hozzáférés előtt a hívónak (felhasználónak vagy alkalmazásnak) megfelelő hitelesítésre és engedélyezésre van szüksége. A hitelesítés a hívó azonosítását szolgálja, az engedélyezés pedig meghatározza, milyen műveletek elvégzésére jogosult.

A hitelesítés az Azure Active Directory használatával történik. Az engedélyezés azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) vagy egy Key Vault meg. Az Azure RBAC a tárolók kezelésére és a tárolóban tárolt adatok elérésére is használható, míg a kulcstartó-hozzáférési szabályzat csak a tárolóban tárolt adatok elérésére használható.

Az Azure Key Vaultok lehetnek szoftveres védelem alatt, vagy Azure Key Vault Prémium rétegben hardveres biztonsági modulokkal (HSM- ekkel) védettek. A szoftveres védelem alatt áll kulcsokat, titkos kulcsokat és tanúsítványokat az Azure az iparági szabványnak megfelelő algoritmusok és kulcshosszok használatával védi. Olyan helyzetekben, ahol nagyobb megbízhatóságra van szükség, olyan HSM-ekben importálhat vagy hozhat létre kulcsokat, amelyek soha nem hagyják el a HSM határait. Azure Key Vault nCipher HSM-eket használ, amelyek a FIPS 140-2 2. szintje szerint ellenőrzöttek. Az nCipher eszközökkel áthelyezheti a kulcsokat a HSM-ről a Azure Key Vault.

Végül pedig az Azure Key Vault kialakításából adódóan a Microsoft nem tekintheti meg és nem fejtheti vissza az adatokat.

A hozzáférés és használat monitorozása

Miután létrehozott néhány kulcstartót, monitorozhatja, hogyan és mikor férnek hozzá a kulcsokhoz és a titkos kulcsokhoz. A tevékenységeket a tárolók naplózásának engedélyezésével figyelheti. Az Azure Key Vaultot beállíthatja az alábbiak elvégzésére:

  • Archiválás tárfiókba
  • Streamelés eseményközpontba
  • Küldje el a naplókat Azure Monitor naplókba.

Engedélyekkel rendelkezik a naplók felett, és meg is védheti őket a hozzáférés korlátozásával, illetve törölheti azokat a naplókat, amelyekre már nincs szüksége.

A titkos alkalmazáskulcsok egyszerűsített adminisztrációja

Értékes adatok tárolásakor el kell végeznie néhány lépést. A biztonsági adatoknak biztonságosnak kell lennie, követniük kell egy életciklust, és magas rendelkezésre állásúnak kell lennie. Azure Key Vault a következővel egyszerűsíti le ezeknek a követelményeknek a megfelelését:

  • Nincs szükség arra, hogy a hardveres biztonsági modulokról házon át áteső ismeretekre van szükség.
  • A szervezet használati csúcsának megfelelő, rövid idő alatt felméretezés.
  • A kulcstartója tartalmát egy régión belül és egy másodlagos régióba replikálja. Az adatreplikáció biztosítja a magas rendelkezésre állást, és a feladatátvétel aktiválása érdekében a rendszergazda nem igényel semmilyen műveletet.
  • Standard Azure felügyeleti lehetőségeket biztosít a Portal, az Azure CLI és a PowerShell segítségével.
  • Automatizálja a nyilvános hitelesítésszolgáltatóktól vásárolt tanúsítványokon elvégzett egyes műveleteket, például a regisztrálást és a megújítást.

Továbbá az Azure Key Vault-kulcstartók lehetővé teszik a titkos alkalmazáskulcsok elkülönítését. Az alkalmazások csak ahhoz a tárolóhoz férhetnek hozzá, amelyhez hozzáférésük van, és korlátozható, hogy csak bizonyos műveleteket hajtsanak végre. Alkalmazásonként egy Azure Key Vault-kulcstárolót hozhat létre, és a benne tárolt titkos kulcsok használatát csak egy adott alkalmazásra és fejlesztői csapatra korlátozhatja.

Integráció más Azure-szolgáltatásokkal

Az Azure-ban biztonságos tárolóként Key Vault a következő forgatókönyvek egyszerűsítésére:

A Key Vault integrálható tárfiókokkal, eseményközpontokkal és a naplóelemzéssel.

Következő lépések