Tentang Azure Key Vault

Azure Key Vault membantu menyelesaikan masalah berikut:

• Manajemen Rahasia - Azure Key Vault dapat digunakan untuk menyimpan dan mengontrol akses ke token, kata sandi, sertifikat, kunci API, dan rahasia lainnya dengan aman
• Manajemen Kunci - Azure Key Vault juga dapat digunakan sebagai solusi Manajemen Kunci. Azure Key Vault memberi kemudahan dalam membuat dan mengontrol kunci enkripsi untuk mengenkripsi data Anda.
• Manajemen Sertifikat - Azure Key Vault memungkinkan Anda dengan mudah memprovisikan, mengelola, dan menyebarkan sertifikat Transport Layer Security/Secure Sockets Layer (TLS/SSL) publik dan privat untuk digunakan dengan Azure dan sumber daya internal yang terhubung.

Azure Key Vault memiliki dua tingkat layanan: Standar, dienkripsi dengan kunci perangkat lunak, dan tingkat Premium, mencakup kunci yang dilindungi modul keamanan perangkat keras (HSM). Untuk melihat perbandingan antara tingkat Standar dan Premium, lihat halaman harga Azure Key Vault.

Mengapa menggunakan Azure Key Vault?

Memusatkan rahasia aplikasi

Memusatkan penyimpanan rahasia aplikasi di Azure Key Vault memungkinkan Anda mengontrol distribusinya. Key Vault sangat mengurangi kemungkinan rahasia bocor secara tidak sengaja. Saat menggunakan Key Vault, pengembang aplikasi tidak perlu lagi menyimpan informasi keamanan dalam aplikasi mereka. Tidak harus menyimpan informasi keamanan dalam aplikasi, menghilangkan kebutuhan untuk menjadikan informasi ini bagian dari kode. Contohnya, aplikasi mungkin perlu terhubung ke database. Alih-alih menyimpan string koneksi dalam kode aplikasi, Anda dapat menyimpannya dengan aman di Key Vault.

Aplikasi Anda dapat mengakses informasi yang dibutuhkan dengan aman menggunakan URI. URI ini memungkinkan aplikasi untuk mengambil versi rahasia tertentu. Tidak perlu menulis kode kustom untuk melindungi salah satu informasi rahasia yang disimpan di Key Vault.

Menyimpan rahasia dan kunci dengan aman

Akses ke key vault memerlukan autentikasi dan otorisasi yang tepat sebelum pemanggil (pengguna atau aplikasi) mendapatkan akses. Autentikasi menentukan identitas pemanggil, sementara otorisasi menentukan operasi yang diizinkan untuk dilakukan.

Autentikasi dilakukan melalui Azure Active Directory (Azure AD). Otorisasi dapat dilakukan melalui kontrol akses berbasis peran Azure (Azure RBAC) atau kebijakan akses Key Vault. RBAC Azure dapat digunakan untuk pengelolaan brankas dan mengakses data yang disimpan dalam brankas, sementara kebijakan akses brankas kunci hanya dapat digunakan ketika mencoba mengakses data yang disimpan di brankas.

Azure Key Vault dilindungi perangkat lunak atau pada tingkat Azure Key Vault Premium dilindungi perangkat keras dengan modul keamanan perangkat keras (HSM). Kunci, rahasia, dan sertifikat yang dilindungi perangkat lunak dilindungi oleh Azure menggunakan algoritme standar industri dan panjang kunci. Jika Anda memerlukan jaminan tambahan, Anda dapat mengimpor atau menghasilkan kunci dalam HSM yang tidak pernah meninggalkan batas HSM. Azure Key Vault menggunakan HSM nCipher, yaitu Standar Pemrosesan Informasi Federal (FIPS) 140-2 Level 2 yang divalidasi. Anda dapat menggunakan alat nCipher untuk memindahkan kunci dari HSM ke Azure Key Vault.

Azure Key Vault dirancang agar Microsoft tidak melihat atau mengekstrak data Anda.

Memantau akses dan penggunaan

Setelah Anda membuat beberapa Key Vault, Anda mungkin berkeinginan untuk memantau bagaimana dan kapan kunci dan rahasia Anda diakses. Anda dapat memantau aktivitas dengan mengaktifkan pengelogan untuk vault Anda. Anda dapat mengonfigurasi Azure Key Vault untuk:

• Mengarsipkan ke akun penyimpanan.
• Stream ke pusat aktivitas.
• Mengirim log ke log Azure Monitor.

Anda memiliki kontrol atas log Anda dan Anda dapat mengamankannya dengan membatasi akses. Anda juga dapat menghapus log yang tidak lagi Anda butuhkan.

Administrasi rahasia aplikasi yang disederhanakan

Anda harus melakukan beberapa langkah saat menyimpan data berharga. Informasi keamanan harus diamankan, mengikuti siklus hidup, dan harus tersedia. Azure Key Vault menyederhanakan proses pemenuhan persyaratan ini dengan:

• Menghapus kebutuhan terhadap pengetahuan internal tentang Modul Keamanan Perangkat Keras.
• Meningkatkan skala dalam waktu singkat untuk memenuhi lonjakan penggunaan di organisasi Anda.
• Membuat replika konten Key Vault Anda di dalam wilayah dan ke wilayah sekunder. Replikasi data memastikan ketersediaan yang tinggi dan mengurangi kebutuhan tindakan dari administrator yang memicu kegagalan.
• Menyediakan opsi administrasi Azure standar melalui portal, Azure CLI, dan PowerShell.
• Mengotomatiskan tugas tertentu pada sertifikat yang Anda beli dari CA Publik, seperti pendaftaran dan perpanjangan.

Selain itu, Azure Key Vaults memungkinkan Anda untuk memisahkan rahasia aplikasi. Aplikasi hanya dapat mengakses vault yang diizinkan untuk diakses dan dapat dibatasi hanya untuk melakukan operasi tertentu. Anda dapat membuat Azure Key Vault per aplikasi dan membatasi rahasia yang disimpan di Key Vault aplikasi dan tim pengembang tertentu.

Mengintegrasikan dengan layanan Azure lainnya

Sebagai penyimpanan yang aman di Azure, Key Vault telah digunakan untuk menyederhanakan skenario seperti:

• Azure Disk Encryption
• Fungsionalitas Data yang selalu dienkripsi dan Enkripsi Data Transparan di server SQL dan Database Azure SQL
• Azure App Service.

Key Vault sendiri dapat diintegrasikan dengan akun penyimpanan, pusat aktivitas, dan analitik log.

Langkah berikutnya

• Pelajari lebih lanjut tentang kunci, rahasia, dan sertifikat
• Mulai cepat: Membuat Azure Key Vault menggunakan Azure CLI
• Autentikasi, permintaan, dan respons
• Panduan Pengembang Key Vault