Over Azure Key Vault
Met Azure Key Vault kunt u de volgende problemen oplossen:
- Geheimenbeheer - Met Azure Key Vault kunt u veilig de toegang tot tokens, wachtwoorden, certificaten, API-sleutels en andere geheimen opslaan en strikt beheren
- Sleutelbeheer: Azure Key Vault kunnen worden gebruikt als een oplossing voor sleutelbeheer. Met Azure Key Vault kunt u eenvoudig de versleutelingssleutels maken en beheren waarmee uw gegevens worden versleuteld.
- Certificaatbeheer: Azure Key Vault kunt u eenvoudig openbare en persoonlijke Transport Layer Security/Secure Sockets Layer-certificaten (TLS/SSL) inrichten, beheren en implementeren voor gebruik met Azure en uw interne verbonden resources.
Azure Key Vault heeft twee servicelagen: Standard, die wordt versleuteld met een softwaresleutel en een Premium-laag, waaronder HSM-beveiligde sleutels (Hardware Security Module). Als u een vergelijking tussen de lagen Standard en Premium wilt zien, raadpleegt u de pagina met prijzen voor Azure Key Vault.
Waarom zou ik Azure Key Vault gebruiken?
Toepassingsgeheimen centraliseren
Door de opslag van toepassingsgeheimen te centraliseren in Azure Key Vault kunt u de verdeling ervan bepalen. Key Vault vermindert de kans dat geheimen per ongeluk worden gelekt aanzienlijk. Bij gebruik van Key Vault hoeven ontwikkelaars van toepassingen geen beveiligingsinformatie meer in de toepassing zelf op te slaan. Doordat u geen beveiligingsinformatie in toepassingen hoeft op te slaan elimineert u de noodzaak om deze informatie onderdeel van de code te maken. Een toepassing wil bijvoorbeeld verbinding maken met een database. In plaats van de verbindingsreeks op te slaan in de code van de app, kunt u deze veilig bewaren in Key Vault.
Met behulp van URI's hebben uw toepassingen veilig toegang tot de benodigde gegevens. Met deze URI's kunnen de toepassingen specifieke versies van een geheim ophalen. U hoeft geen aangepaste code te schrijven om de geheime informatie die in Key Vault is opgeslagen te beveiligen.
Geheimen en sleutels veilig opslaan
Voor toegang tot een sleutelkluis is de juiste verificatie en autorisatie vereist voordat een aanroeper (gebruiker of toepassing) toegang kan krijgen. Met verificatie wordt de identiteit van de aanroeper vastgesteld, terwijl autorisatie bepaalt welke bewerkingen de aanroeper mag uitvoeren.
Verificatie wordt uitgevoerd via Azure Active Directory. Autorisatie kan worden uitgevoerd via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) of Key Vault-toegangsbeleid. Azure RBAC kan worden gebruikt voor zowel het beheer van de kluizen als de toegang tot gegevens die zijn opgeslagen in een kluis, terwijl toegangsbeleid voor key vault alleen kan worden gebruikt bij pogingen om toegang te krijgen tot gegevens die zijn opgeslagen in een kluis.
Azure-sleutelkluizen kunnen worden beveiligd met software of, zoals bij de Premium-laag voor Azure Key Vault, met hardware door middel van HSM's (Hardware Security Modules). Met software beveiligde sleutels, geheimen en certificaten worden beveiligd door Azure. Hiervoor wordt gebruikgemaakt van algoritmen en sleutellengten die voldoen aan de industriestandaard. Voor situaties waar extra zekerheid is vereist, kunt u sleutels in HSM's importeren of genereren die nooit verdergaan dan de HSM-grens. Azure Key Vault maakt gebruik van nCipher-HSM's. Deze zijn Federal Information Processing Standards (FIPS) 140-2 Level 2 gevalideerd. U kunt nCipher-hulpprogramma's gebruiken om een sleutel te verplaatsen van uw HSM naar Azure Key Vault.
Tot slot is Azure Key Vault zodanig ontworpen dat Microsoft uw gegevens niet kan zien of extraheren.
Toegang tot en gebruik van controles
Nadat u enkele sleutelkluizen hebt gemaakt, kunt u controleren hoe en wanneer er toegang tot uw sleutels en geheimen is gezocht. U kunt de activiteit controleren door logboekregistratie voor uw kluizen in te schakelen. U kunt Azure Key Vault voor het volgende configureren:
- Archiveren naar een opslagaccount.
- Streamen naar een Event Hub.
- De logboeken verzenden naar logboeken van Azure Monitor.
U hebt de controle over uw logboeken en kunt ze beveiligen door de toegang te beperken. Bovendien kunt u logboeken verwijderen die u niet meer nodig hebt.
Vereenvoudigd beheer van toepassingsgeheimen
Bij het opslaan van waardevolle gegevens moet u verschillende stappen uitvoeren. Beveiligingsinformatie moet worden beschermd, moet een bepaalde levenscyclus volgen en moet maximaal beschikbaar zijn. Met Azure Key Vault vereenvoudigt u het proces om aan deze vereisten te voldoen door:
- Het wegnemen van de noodzaak tot interne kennis van Hardware Security Modules.
- Het op korte termijn omhoog schalen om de gebruikspieken van uw organisatie aan te kunnen.
- Het repliceren van de inhoud van uw Key Vault binnen een regio en naar een secundaire regio. Gegevensreplicatie zorgt voor een maximale beschikbaarheid en de beheerder hoeft geen actie te ondernemen om de failover te activeren.
- Het bieden van standaard Azure-beheeropties via de portal, Azure CLI en PowerShell.
- Het automatiseren van bepaalde taken voor certificaten die u aanschaft bij openbare CA's, zoals registreren en verlengen.
Bovendien kunt u met sleutelkluizen van Azure toepassingsgeheimen van elkaar scheiden. Toepassingen krijgen alleen toegang tot de kluis die ze mogen benaderen en ze mogen alleen specifieke bewerkingen uitvoeren. U kunt een Azure-sleutelkluis per toepassing maken en de geheimen die in een bepaalde sluitelkleus zijn opgeslagen beperken tot een specifieke toepassing en team van ontwikkelaars.
Integreren met andere Azure-services
Key Vault wordt in Azure gebruikt als beveiligd archief om scenario's te vereenvoudigen, zoals:
- Azure Disk Encryption
- De functionaliteit altijd versleuteld en Transparent Data Encryption in SQL-server en Azure SQL Database
- Azure App Service.
Key Vault zelf kan worden geïntegreerd met opslagaccounts, Event Hubs en logboekanalyses.