Az Azure Key Vault ismertetése
Az Azure Key Vault egy felhőalapú szolgáltatás a titkos kódok biztonságos tárolására és elérésére. A titkos kód minden olyan dolog, amelyhez szigorúan szabályozni szeretné a hozzáférést, például API-kulcsokat, jelszavakat, tanúsítványokat vagy titkosítási kulcsokat.
Az Azure Key Vault a következő problémák megoldásában segít:
- Titkos kódok kezelése. A Key Vault segítségével biztonságosan és szigorúan szabályozhatja a jogkivonatokhoz, jelszavakhoz, tanúsítványokhoz, alkalmazásprogramozási felülethez (API) tartozó kulcsokhoz és egyéb titkos kulcsokhoz való hozzáférést.
- Kulcskezelés. A Key Vault kulcskezelési megoldásként is használható. Az Key Vaulttal egyszerűen létrehozhatja és vezérelheti az adatok titkosításához használt titkosítási kulcsokat.
- Tanúsítványkezelés. A Key Vault lehetővé teszi a nyilvános és privát Secure Sockets Layer/Transport Layer Security (SSL/TLS) tanúsítványok kiépítését, kezelését és üzembe helyezését az Azure-ral és a belsőleg csatlakoztatott erőforrásokkal való használatra.
Az Azure Key Vault két szolgáltatási szinttel rendelkezik: Standard, amely szoftverkulccsal és prémium szintű titkosítással rendelkezik, amely hardveres biztonsági modullal (HSM) védett kulcsokat tartalmaz.
Miért érdemes a Key Vaultot használni?
Alkalmazáskulcsok központosítása. Az azure Key Vaultban az alkalmazás titkos kulcsainak központi tárolásával szabályozhatja azok terjesztését, és jelentősen csökkentheti annak esélyét, hogy a titkos kulcsok véletlenül kiszivárogjanak. Amikor az alkalmazásfejlesztők a Key Vaultot használják, többé nem kell biztonsági információkat tárolniuk a kód részeként az alkalmazásukban. Ehelyett az alkalmazás biztonságosan hozzáférhet a szükséges információkhoz egy Key Vault-objektumazonosító használatával, amely egyedileg azonosítja az objektumot a Key Vaultban. A Key Vault objektumazonosítói olyan URL-címek, amelyek lehetővé teszik az alkalmazás számára a titkos kódok meghatározott verzióinak lekérését. A Key Vaultban tárolt titkos adatok védelméhez nincs szükség egyéni kód írására.
A standard szintű Azure Key Vault-objektumazonosító és a prémium szintű felügyelt HSM URL-formátuma a következő:
Standard szintű tárolók esetén: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
Felügyelt HSM esetén: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
Titkos kulcsok és kulcsok biztonságos tárolása. A kulcstartóhoz való hozzáférés előtt a hívónak (felhasználónak vagy alkalmazásnak) megfelelő hitelesítésre és engedélyezésre van szüksége. A hitelesítés létrehozza a hívó identitását, míg az engedélyezés határozza meg, hogy milyen műveleteket hajthatnak végre.
A hitelesítés a Microsoft Entra használatával történik. Az engedélyezés azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) vagy Key Vault hozzáférési szabályzattal végezhető el.
Az Azure Key Vault úgy lett kialakítva, hogy a Microsoft ne lássa és ne nyerje ki az adatokat.
A hozzáférés és használat monitorozása. Miután létrehozott néhány Key Vaultot, figyelheti a tevékenységeket a tárolók naplózásának engedélyezésével. Engedélyekkel rendelkezik a naplók felett, és meg is védheti őket a hozzáférés korlátozásával, illetve törölheti azokat a naplókat, amelyekre már nincs szüksége.
A titkos alkalmazáskulcsok egyszerűsített adminisztrációja. Az Azure Key Vault leegyszerűsíti az alkalmazás titkos kulcsainak védelméhez általában szükséges adminisztrációt, beleértve a következőket:
- A kulcstartója tartalmát egy régión belül és egy másodlagos régióba replikálja. Az adatreplikálás biztosítja a magas rendelkezésre állást, és elveszi a rendszergazda minden műveletének szükségességét a feladatátvétel aktiválásához.
- Standard Azure felügyeleti lehetőségeket biztosít a Portal, az Azure CLI és a PowerShell segítségével.
- A nyilvános hitelesítésszolgáltatóktól (CA-któl) vásárolt tanúsítványok bizonyos feladatainak automatizálása, például a regisztráció és a megújítás.
Továbbá az Azure Key Vault-kulcstartók lehetővé teszik a titkos alkalmazáskulcsok elkülönítését. Az alkalmazások csak azt a tárolót érhetik el, amelyhez hozzáférésük van, és csak adott műveletek végrehajtására korlátozhatók. Alkalmazásonként egy Azure Key Vault-kulcstárolót hozhat létre, és a benne tárolt titkos kulcsok használatát csak egy adott alkalmazásra és fejlesztői csapatra korlátozhatja.