Az Azure Key Vault ismertetése

  • 3 perc

Az Azure Key Vault egy felhőalapú szolgáltatás a titkos kódok biztonságos tárolására és elérésére. A titkos kód minden olyan dolog, amelyhez szigorúan szabályozni szeretné a hozzáférést, például API-kulcsokat, jelszavakat, tanúsítványokat vagy titkosítási kulcsokat.

Az Azure Key Vault a következő problémák megoldásában segít:

  • Titkos kódok kezelése. A Key Vault segítségével biztonságosan és szigorúan szabályozhatja a jogkivonatokhoz, jelszavakhoz, tanúsítványokhoz, alkalmazásprogramozási felülethez (API) tartozó kulcsokhoz és egyéb titkos kulcsokhoz való hozzáférést.
  • Kulcskezelés. A Key Vault kulcskezelési megoldásként is használható. Az Key Vaulttal egyszerűen létrehozhatja és vezérelheti az adatok titkosításához használt titkosítási kulcsokat.
  • Tanúsítványkezelés. A Key Vault lehetővé teszi a nyilvános és privát Secure Sockets Layer/Transport Layer Security (SSL/TLS) tanúsítványok kiépítését, kezelését és üzembe helyezését az Azure-ral és a belsőleg csatlakoztatott erőforrásokkal való használatra.

Az Azure Key Vault két szolgáltatási szinttel rendelkezik: Standard, amely szoftverkulccsal és prémium szintű titkosítással rendelkezik, amely hardveres biztonsági modullal (HSM) védett kulcsokat tartalmaz.

Miért érdemes a Key Vaultot használni?

Alkalmazáskulcsok központosítása. Az azure Key Vaultban az alkalmazás titkos kulcsainak központi tárolásával szabályozhatja azok terjesztését, és jelentősen csökkentheti annak esélyét, hogy a titkos kulcsok véletlenül kiszivárogjanak. Amikor az alkalmazásfejlesztők a Key Vaultot használják, többé nem kell biztonsági információkat tárolniuk a kód részeként az alkalmazásukban. Ehelyett az alkalmazás biztonságosan hozzáférhet a szükséges információkhoz egy Key Vault-objektumazonosító használatával, amely egyedileg azonosítja az objektumot a Key Vaultban. A Key Vault objektumazonosítói olyan URL-címek, amelyek lehetővé teszik az alkalmazás számára a titkos kódok meghatározott verzióinak lekérését. A Key Vaultban tárolt titkos adatok védelméhez nincs szükség egyéni kód írására.

A standard szintű Azure Key Vault-objektumazonosító és a prémium szintű felügyelt HSM URL-formátuma a következő:

  • Standard szintű tárolók esetén: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Felügyelt HSM esetén: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Titkos kulcsok és kulcsok biztonságos tárolása. A kulcstartóhoz való hozzáférés előtt a hívónak (felhasználónak vagy alkalmazásnak) megfelelő hitelesítésre és engedélyezésre van szüksége. A hitelesítés létrehozza a hívó identitását, míg az engedélyezés határozza meg, hogy milyen műveleteket hajthatnak végre.

A hitelesítés a Microsoft Entra használatával történik. Az engedélyezés azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) vagy Key Vault hozzáférési szabályzattal végezhető el.

Az Azure Key Vault úgy lett kialakítva, hogy a Microsoft ne lássa és ne nyerje ki az adatokat.

A hozzáférés és használat monitorozása. Miután létrehozott néhány Key Vaultot, figyelheti a tevékenységeket a tárolók naplózásának engedélyezésével. Engedélyekkel rendelkezik a naplók felett, és meg is védheti őket a hozzáférés korlátozásával, illetve törölheti azokat a naplókat, amelyekre már nincs szüksége.

A titkos alkalmazáskulcsok egyszerűsített adminisztrációja. Az Azure Key Vault leegyszerűsíti az alkalmazás titkos kulcsainak védelméhez általában szükséges adminisztrációt, beleértve a következőket:

  • A kulcstartója tartalmát egy régión belül és egy másodlagos régióba replikálja. Az adatreplikálás biztosítja a magas rendelkezésre állást, és elveszi a rendszergazda minden műveletének szükségességét a feladatátvétel aktiválásához.
  • Standard Azure felügyeleti lehetőségeket biztosít a Portal, az Azure CLI és a PowerShell segítségével.
  • A nyilvános hitelesítésszolgáltatóktól (CA-któl) vásárolt tanúsítványok bizonyos feladatainak automatizálása, például a regisztráció és a megújítás.

Diagram showing a representation of Azure Key Vault, an Azure developer receiving a key vault object identifier as a URI, and a security admin that obtains usage logging for keys.

Továbbá az Azure Key Vault-kulcstartók lehetővé teszik a titkos alkalmazáskulcsok elkülönítését. Az alkalmazások csak azt a tárolót érhetik el, amelyhez hozzáférésük van, és csak adott műveletek végrehajtására korlátozhatók. Alkalmazásonként egy Azure Key Vault-kulcstárolót hozhat létre, és a benne tárolt titkos kulcsok használatát csak egy adott alkalmazásra és fejlesztői csapatra korlátozhatja.