Informazioni su Azure Key VaultAbout Azure Key Vault

Azure Key Vault contribuisce a risolvere i problemi seguenti:Azure Key Vault helps solve the following problems:

  • Gestione dei segreti: Azure Key Vault può essere usato per archiviare in modo sicuro e controllare rigorosamente l'accesso a token, password, certificati, chiavi API e altri segreti.Secrets Management - Azure Key Vault can be used to Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets
  • Gestione delle chiavi: Azure Key Vault può essere usato anche come soluzione di gestione delle chiavi.Key Management - Azure Key Vault can also be used as a Key Management solution. Con Azure Key Vault è semplice creare e controllare le chiavi di crittografia usate per crittografare i dati.Azure Key Vault makes it easy to create and control the encryption keys used to encrypt your data.
  • Gestione dei certificati: Azure Key Vault è anche un servizio che facilita il provisioning, la gestione e la distribuzione dei certificati Transport Layer Security/Secure Sockets Layer (TLS/SSL) pubblici e privati da usare con Azure e le risorse connesse interne.Certificate Management - Azure Key Vault is also a service that lets you easily provision, manage, and deploy public and private Transport Layer Security/Secure Sockets Layer (TLS/SSL) certificates for use with Azure and your internal connected resources.
  • Archiviazione dei segreti supportati da moduli di protezione hardware: le chiavi e i segreti possono essere protetti da software o da moduli di protezione hardware certificati FIPS 140-2 livello 2Store secrets backed by Hardware Security Modules - The secrets and keys can be protected either by software or FIPS 140-2 Level 2 validated HSMs

Vantaggi di Azure Key VaultWhy use Azure Key Vault?

Centralizzare i segreti delle applicazioniCentralize application secrets

Centralizzando l'archiviazione dei segreti delle applicazioni in Azure Key Vault è possibile controllare la distribuzione dei segreti.Centralizing storage of application secrets in Azure Key Vault allows you to control their distribution. Key Vault riduce notevolmente le probabilità di divulgazione accidentale dei segreti.Key Vault greatly reduces the chances that secrets may be accidentally leaked. Quando si usa Key Vault, gli sviluppatori di applicazioni non devono più archiviare le informazioni di sicurezza nell'applicazione.When using Key Vault, application developers no longer need to store security information in their application. Il fatto di non dover archiviare le informazioni di sicurezza nelle applicazioni elimina la necessità di inserirle nel codice.Not having to store security information in applications eliminates the need to make this information part of the code. Ad esempio, per un'applicazione potrebbe essere necessario connettersi a un database.For example, an application may need to connect to a database. Invece di archiviare la stringa di connessione nel codice dell'app, è possibile archiviarla in modo sicuro in Key Vault.Instead of storing the connection string in the app's code, you can store it securely in Key Vault.

Le applicazioni possono accedere in modo sicuro alle informazioni necessarie tramite URI.Your applications can securely access the information they need by using URIs. Questi URI permettono alle applicazioni di recuperare versioni specifiche di un segreto.These URIs allow the applications to retrieve specific versions of a secret. Non è necessario scrivere codice personalizzato per proteggere le informazioni segrete archiviate in Key Vault.There is no need to write custom code to protect any of the secret information stored in Key Vault.

Archiviare segreti e chiavi con la massima sicurezzaSecurely store secrets and keys

Le chiavi e i segreti vengono protetti da Azure con algoritmi standard del settore, lunghezze delle chiavi e moduli di protezione hardware.Secrets and keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs). I moduli di protezione hardware usati sono convalidati per Federal Information Processing Standards (FIPS) 140-2 livello 2.The HSMs used are Federal Information Processing Standards (FIPS) 140-2 Level 2 validated.

L'accesso di un chiamante (utente o applicazione) a un'istanza di Key Vault richiede opportune procedure di autenticazione e autorizzazione.Access to a key vault requires proper authentication and authorization before a caller (user or application) can get access. L'autenticazione stabilisce l'identità del chiamante, mentre l'autorizzazione determina le operazioni che il chiamante è autorizzato a eseguire.Authentication establishes the identity of the caller, while authorization determines the operations that they are allowed to perform.

L'autenticazione avviene tramite Azure Active Directory.Authentication is done via Azure Active Directory. L'autorizzazione può essere eseguita tramite il controllo degli accessi in base al ruolo o i criteri di accesso di Key Vault.Authorization may be done via role-based access control (RBAC) or Key Vault access policy. Il controllo degli accessi in base al ruolo viene usato per la gestione degli insiemi di credenziali e vengono usati criteri di accesso di Key Vault quando si tenta di accedere ai dati archiviati in un insieme di credenziali.RBAC is used when dealing with the management of the vaults and key vault access policy is used when attempting to access data stored in a vault.

Le istanze di Azure Key Vault possono essere protette da moduli di protezione software o hardware.Azure Key Vaults may be either software- or hardware-HSM protected. Per i casi in cui si richiede maggiore sicurezza, è possibile importare o generare le chiavi in moduli di protezione hardware (HSM) che rimangono sempre entro il limite HSM.For situations where you require added assurance you can import or generate keys in hardware security modules (HSMs) that never leave the HSM boundary. Microsoft usa i moduli di protezione hardware nCipher.Microsoft uses nCipher hardware security modules. È possibile usare gli strumenti nCipher per spostare una chiave dal modulo di protezione hardware ad Azure Key Vault.You can use nCipher tools to move a key from your HSM to Azure Key Vault.

Azure Key Vault è infine progettato in modo che Microsoft non possa vedere o estrarre i dati.Finally, Azure Key Vault is designed so that Microsoft does not see or extract your data.

Monitorare l'accesso e l'usoMonitor access and use

Dopo aver creato un paio di istanze di Key Vault, può essere utile monitorare modalità e tempi di accesso a chiavi e segreti.Once you have created a couple of Key Vaults, you will want to monitor how and when your keys and secrets are being accessed. È possibile monitorare l'attività abilitando la registrazione per gli insiemi di credenziali.You can monitor activity by enabling logging for your vaults. È possibile configurare Azure Key Vault per eseguire queste operazioni:You can configure Azure Key Vault to:

  • Archiviare in un account di archiviazione.Archive to a storage account.
  • Streaming in un hub eventi.Stream to an event hub.
  • Inviare i log ai log di Monitoraggio di Azure.Send the logs to Azure Monitor logs.

L'utente ha il controllo dei registri e può proteggerli limitando l'accesso. È anche possibile eliminare i log non più necessari.You have control over your logs and you may secure them by restricting access and you may also delete logs that you no longer need.

Amministrazione semplificata dei segreti delle applicazioniSimplified administration of application secrets

Quando si archiviano dati importanti, è necessario eseguire diversi passaggi.When storing valuable data, you must take several steps. Le informazioni di sicurezza devono essere protette, devono seguire un ciclo di vita e devono avere disponibilità elevata.Security information must be secured, it must follow a life cycle, and it must be highly available. Azure Key Vault semplifica il processo per soddisfare i requisiti in questi modi:Azure Key Vault simplifies the process of meeting these requirements by:

  • Eliminando la necessità di competenze interne in materia di moduli di protezione hardware.Removing the need for in-house knowledge of Hardware Security Modules.
  • Aumentando le prestazioni con breve preavviso per soddisfare i picchi d'uso dell'organizzazione.Scaling up on short notice to meet your organization's usage spikes.
  • Replicando i contenuti di un'area di Key Vault in un'area secondaria.Replicating the contents of your Key Vault within a region and to a secondary region. La replica dei dati garantisce la disponibilità elevata ed elimina la necessità di interventi da parte dell'amministratore per l'attivazione del failover.Data replication ensures high availability and takes away the need of any action from the administrator to trigger the failover.
  • Fornendo opzioni standard di amministrazione di Azure tramite il portale, l'interfaccia della riga di comando di Azure e PowerShell.Providing standard Azure administration options via the portal, Azure CLI and PowerShell.
  • Automatizzando determinate attività sui certificati acquistati da autorità di certificazione pubbliche, ad esempio la registrazione e il rinnovo.Automating certain tasks on certificates that you purchase from Public CAs, such as enrollment and renewal.

Azure Key Vault consente anche di separare i segreti delle applicazioni.In addition, Azure Key Vaults allow you to segregate application secrets. Le applicazioni possono accedere solo all'insieme di credenziali per il quale hanno l'autorizzazione ed essere limitate alla sola esecuzione di alcune operazioni specifiche.Applications may access only the vault that they are allowed to access, and they can be limited to only perform specific operations. È possibile creare un'istanza di Azure Key Vault per ogni applicazione e limitare i segreti archiviati in un'istanza a un'applicazione e un team di sviluppatori specifici.You can create an Azure Key Vault per application and restrict the secrets stored in a Key Vault to a specific application and team of developers.

Integrare il servizio con altri servizi di AzureIntegrate with other Azure services

In qualità di archivio sicuro in Azure, Key Vault è stato usato per semplificare scenari come i seguenti:As a secure store in Azure, Key Vault has been used to simplify scenarios like:

Key Vault può integrarsi con account di archiviazione, hub eventi e Log Analytics.Key Vault itself can integrate with storage accounts, event hubs, and log analytics.

Passaggi successiviNext steps