Wat is Azure Sleutelkluis?What is Azure Key Vault?

Met Azure Key Vault kunt u de volgende problemen oplossen:Azure Key Vault helps solve the following problems:

  • Geheimenbeheer - Met Azure Key Vault kunt u veilig de toegang tot tokens, wachtwoorden, certificaten, API-sleutels en andere geheimen opslaan en strikt beherenSecrets Management - Azure Key Vault can be used to Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets
  • Sleutelbeheer - U kunt Azure Key Vault ook gebruiken als een oplossing voor sleutelbeheer.Key Management - Azure Key Vault can also be used as a Key Management solution. Met Azure Key Vault kunt u eenvoudig de versleutelingssleutels maken en beheren waarmee uw gegevens worden versleuteld.Azure Key Vault makes it easy to create and control the encryption keys used to encrypt your data.
  • Certificaatbeheer - Azure Key Vault is ook een service waarmee u eenvoudig openbare en persoonlijke SSL/TLS-certificaten (Secure Sockets Layer/Transport Layer Security) kunt inrichten, beheren en implementeren voor gebruik met Azure en uw interne verbonden bronnen.Certificate Management - Azure Key Vault is also a service that lets you easily provision, manage, and deploy public and private Secure Sockets Layer/Transport Layer Security (SSL/TLS) certificates for use with Azure and your internal connected resources.
  • Sla geheimen op met hardwarebeveiligingsmodules (HSM's) - De geheimen en sleutels kunnen worden beveiligd door software of met FIPS 140-2 niveau 2-validatie-HSM'sStore secrets backed by Hardware Security Modules - The secrets and keys can be protected either by software or FIPS 140-2 Level 2 validates HSMs

Waarom zou ik Azure Key Vault gebruiken?Why use Azure Key Vault?

Toepassingsgeheimen centraliserenCentralize application secrets

Door de opslag van toepassingsgeheimen te centraliseren in Azure Key Vault kunt u de verdeling ervan bepalen.Centralizing storage of application secrets in Azure Key Vault allows you to control their distribution. Key Vault vermindert de kans dat geheimen per ongeluk worden gelekt aanzienlijk.Key Vault greatly reduces the chances that secrets may be accidentally leaked. Bij gebruik van Key Vault hoeven ontwikkelaars van toepassingen geen beveiligingsinformatie meer in de toepassing zelf op te slaan.When using Key Vault, application developers no longer need to store security information in their application. Doordat u geen beveiligingsinformatie in toepassingen hoeft op te slaan elimineert u de noodzaak om deze informatie onderdeel van de code te maken.Not having to store security information in applications eliminates the need to make this information part of the code. Een toepassing wil bijvoorbeeld verbinding maken met een database.For example, an application may need to connect to a database. In plaats van de verbindingsreeks op te slaan in de code van de app, kunt u deze veilig bewaren in Key Vault.Instead of storing the connection string in the app's code, you can store it securely in Key Vault.

Met behulp van URI's hebben uw toepassingen veilig toegang tot de benodigde gegevens.Your applications can securely access the information they need by using URIs. Met deze URI's kunnen de toepassingen specifieke versies van een geheim ophalen.These URIs allow the applications to retrieve specific versions of a secret. U hoeft geen aangepaste code te schrijven om de geheime informatie die in Key Vault is opgeslagen te beveiligen.There is no need to write custom code to protect any of the secret information stored in Key Vault.

Geheimen en sleutels veilig opslaanSecurely store secrets and keys

Geheimen en sleutels worden beveiligd door Azure. Hiervoor wordt gebruikgemaakt van algoritmen, sleutellengten en HSM's (Hardware Security Modules) die voldoen aan de industriestandaard.Secrets and keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs). De gebruikte HSM's zijn Federal Information Processing Standards (FIPS) 140-2 Level 2 gevalideerd.The HSMs used are Federal Information Processing Standards (FIPS) 140-2 Level 2 validated.

Voor toegang tot een sleutelkluis is de juiste verificatie en autorisatie vereist voordat een aanroeper (gebruiker of toepassing) toegang kan krijgen.Access to a key vault requires proper authentication and authorization before a caller (user or application) can get access. Met verificatie wordt de identiteit van de aanroeper vastgesteld, terwijl autorisatie bepaalt welke bewerkingen de aanroeper mag uitvoeren.Authentication establishes the identity of the caller, while authorization determines the operations that they are allowed to perform.

Verificatie wordt uitgevoerd via Azure Active Directory.Authentication is done via Azure Active Directory. Autorisatie kan worden uitgevoerd via op rollen gebaseerd toegangsbeheer (RBAC) of Key Vault-toegangsbeleid.Authorization may be done via role-based access control (RBAC) or Key Vault access policy. RBAC wordt gebruikt bij het beheren van de kluizen. Toegangsbeleid tot sleutelkluizen wordt gebruikt bij pogingen om toegang te krijgen tot gegevens in een kluis.RBAC is used when dealing with the management of the vaults and key vault access policy is used when attempting to access data stored in a vault.

Sleutelkluizen van Azure kunnen software- of hardware-HSM beveiligd zijn.Azure Key Vaults may be either software- or hardware-HSM protected. Voor situaties waar extra zekerheid is vereist, kunt u sleutels in HSM's (Hardware Security Modules) importeren of genereren die nooit verdergaan dan de HSM-grens.For situations where you require added assurance you can import or generate keys in hardware security modules (HSMs) that never leave the HSM boundary. Micro soft maakt gebruik van nCipher-Hardware Security modules.Microsoft uses nCipher hardware security modules. U kunt nCipher-hulpprogram ma's gebruiken om een sleutel van de HSM naar Azure Key Vault te verplaatsen.You can use nCipher tools to move a key from your HSM to Azure Key Vault.

Tot slot is Azure Key Vault zodanig ontworpen dat Microsoft uw gegevens niet kan zien of extraheren.Finally, Azure Key Vault is designed so that Microsoft does not see or extract your data.

Toegang tot en gebruik van controlesMonitor access and use

Nadat u enkele sleutelkluizen hebt gemaakt, kunt u controleren hoe en wanneer er toegang tot uw sleutels en geheimen is gezocht.Once you have created a couple of Key Vaults, you will want to monitor how and when your keys and secrets are being accessed. U kunt de activiteit controleren door logboekregistratie voor uw kluizen in te schakelen.You can monitor activity by enabling logging for your vaults. U kunt Azure Key Vault voor het volgende configureren:You can configure Azure Key Vault to:

  • Archiveren naar een opslagaccount.Archive to a storage account.
  • Streamen naar een Event Hub.Stream to an event hub.
  • De logboeken naar Azure Monitor-logboeken verzenden.Send the logs to Azure Monitor logs.

U hebt de controle over uw logboeken en kunt ze beveiligen door de toegang te beperken. Bovendien kunt u logboeken verwijderen die u niet meer nodig hebt.You have control over your logs and you may secure them by restricting access and you may also delete logs that you no longer need.

Vereenvoudigd beheer van toepassingsgeheimenSimplified administration of application secrets

Bij het opslaan van waardevolle gegevens moet u verschillende stappen uitvoeren.When storing valuable data, you must take several steps. Beveiligingsinformatie moet worden beschermd, moet een bepaalde levenscyclus volgen en moet maximaal beschikbaar zijn.Security information must be secured, it must follow a life cycle, it must be highly available. Met Azure Key Vault vereenvoudigt u het proces om aan deze vereisten te voldoen door:Azure Key Vault simplifies the process of meeting these requirements by:

  • Het wegnemen van de noodzaak tot interne kennis van Hardware Security ModulesRemoving the need for in-house knowledge of Hardware Security Modules
  • Het op korte termijn omhoog schalen om de gebruikspieken van uw organisatie aan te kunnen.Scaling up on short notice to meet your organization’s usage spikes.
  • Het repliceren van de inhoud van uw Key Vault binnen een regio en naar een secundaire regio.Replicating the contents of your Key Vault within a region and to a secondary region. Gegevensreplicatie zorgt voor een maximale beschikbaarheid en de beheerder hoeft geen actie te ondernemen om de failover te activeren.Data replication ensures high availability and takes away the need of any action from the administrator to trigger the failover.
  • Het bieden van standaard Azure-beheeropties via de portal, Azure CLI en PowerShell.Providing standard Azure administration options via the portal, Azure CLI and PowerShell.
  • Het automatiseren van bepaalde taken voor certificaten die u aanschaft bij openbare CA's, zoals registreren en verlengen.Automating certain tasks on certificates that you purchase from Public CAs, such as enrollment and renewal.

Bovendien kunt u met sleutelkluizen van Azure toepassingsgeheimen van elkaar scheiden.In addition, Azure Key Vaults allow you to segregate application secrets. Toepassingen krijgen alleen toegang tot de kluis die ze mogen benaderen en ze mogen alleen specifieke bewerkingen uitvoeren.Applications may access only the vault that they are allowed to access, and they can be limited to only perform specific operations. U kunt een Azure-sleutelkluis per toepassing maken en de geheimen die in een bepaalde sluitelkleus zijn opgeslagen beperken tot een specifieke toepassing en team van ontwikkelaars.You can create an Azure Key Vault per application and restrict the secrets stored in a Key Vault to a specific application and team of developers.

Integreren met andere Azure-servicesIntegrate with other Azure services

Key Vault wordt in Azure gebruikt als beveiligd archief om scenario's te vereenvoudigen, zoals:As a secure store in Azure, Key Vault has been used to simplify scenarios like:

Key Vault zelf kan worden geïntegreerd met opslagaccounts, Event Hubs en logboekanalyses.Key Vault itself can integrate with storage accounts, event hubs, and log analytics.

Volgende stappenNext steps