Wat is Azure Sleutelkluis?What is Azure Key Vault?

Met Azure Key Vault kunt u de volgende problemen oplossen:Azure Key Vault helps solve the following problems:

  • Geheimen Management -Azure Key Vault kan worden gebruikt voor het veilig opslaan en toegang tot tokens, wachtwoorden, certificaten, API-sleutels en andere geheimen nauw beheren.Secrets Management - Azure Key Vault can be used to Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets.
  • Sleutelbeheer - U kunt Azure Key Vault ook gebruiken als een oplossing voor sleutelbeheer.Key Management - Azure Key Vault can also be used as a Key Management solution. Met Azure Key Vault kunt u eenvoudig de versleutelingssleutels maken en beheren waarmee uw gegevens worden versleuteld.Azure Key Vault makes it easy to create and control the encryption keys used to encrypt your data.
  • Certificaatbeheer - Azure Key Vault is ook een service waarmee u eenvoudig openbare en persoonlijke SSL/TLS-certificaten (Secure Sockets Layer/Transport Layer Security) kunt inrichten, beheren en implementeren voor gebruik met Azure en uw interne verbonden bronnen.Certificate Management - Azure Key Vault is also a service that lets you easily provision, manage, and deploy public and private Secure Sockets Layer/Transport Layer Security (SSL/TLS) certificates for use with Azure and your internal connected resources.
  • Geheimen die worden ondersteund door Hardware Security Modules Store -geheimen en sleutels kunnen worden beveiligd door software of FIPS 140-2 Level 2 HSM's valideert.Store secrets backed by Hardware Security Modules - The secrets and keys can be protected either by software or FIPS 140-2 Level 2 validates HSMs.

BasisbegrippenBasic concepts

Azure Key Vault is een hulpprogramma voor het veilig opslaan en openen van geheimen.Azure Key Vault is a tool for securely storing and accessing secrets. Een geheim is alles waartoe u de toegang streng wilt beheren, zoals API-sleutels, wachtwoorden of certificaten.A secret is anything that you want to tightly control access to, such as API keys, passwords, or certificates. Een kluis is logische groep van geheimen.A Vault is logical group of secrets. Nu u alle bewerkingen met Key Vault moet u eerst om deze te verifiëren.Now to do any operations with Key Vault you first need to authenticate to it.

Er zijn fundamenteel drie manieren om te verifiëren naar Key Vault:Fundamentally there are three ways to authenticate to Key Vault:

  1. Met behulp van beheerde identiteiten voor een Azure-resources (aanbevolen en beste praktijken): Wanneer u een App op een virtuele Machine in Azure implementeert, kunt u een identiteit toewijzen aan uw virtuele Machine die toegang tot de Key Vault heeft.Using managed identities for Azure resources (Recommended and Best Practice): When you deploy an App on a Virtual Machine in Azure, you can assign an identity to your Virtual Machine that has access to Key Vault. U kunt identiteiten ook toewijzen aan andere azure-resources die worden vermeld hier.You can also assign identities to other azure resources that are listed here. Het voordeel met deze methode is de app / service wordt niet beheerd door de draaihoek van het eerste geheim.The benefit with this approach is the app / service is not managing the rotation of the first secret. Azure draait automatisch de identiteit.Azure automatically rotates the identity.
  2. Met behulp van Service-Principal en certificaat: De tweede optie is het gebruik van een Service-Principal en een bijbehorende certificaat dat toegang tot de Key Vault heeft.Using Service Principal and Certificate: The second option is to use a Service Principal and an associated certificate that has access to Key Vault. De plicht draaien van het certificaat is op de toepassingseigenaar van de of de ontwikkelaar en kan daarom dit wordt niet aanbevolen.The onus of rotating the certificate is on the application owner or developer and hence this is not recommended.
  3. Met behulp van Service-Principal en -geheim: De derde optie (niet aanbevolen optie) is een Service-Principal en een geheim gebruiken om te verifiëren naar Key Vault.Using Service Principal and Secret: The third option (not preferred option) is to use a Service Principal and a secret to authenticate to Key Vault.

Notitie

De bovenstaande 3e optie mag niet worden gebruikt als het is moeilijk te automatisch draaien het bootstrap geheim gebruikt voor authenticatie in Key Vault.The 3rd option above should not be used as it's hard to auto rotate the bootstrap secret used to authenticate to Key Vault.

Hieronder vindt u een paar belangrijke termen:Here are some key terms:

  • Tenant: Een tenant is de organisatie die eigenaar is van en beheert een specifiek exemplaar van Microsoft-cloudservices.Tenant: A tenant is the organization that owns and manages a specific instance of Microsoft cloud services. Deze wordt meestal op een exacte manier gebruikt om te verwijzen naar de set met Azure- en Office 365-services voor een organisatie.It’s most often used in an exact manner to refer to the set of Azure and Office 365 services for an organization.
  • De eigenaar van de kluis: De eigenaar van een kluis kan maken van een key vault en krijg volledige toegang en controle over het.Vault owner: A vault owner can create a key vault and gain full access and control over it. De eigenaar van de kluis kan ook controles instellen om vast te leggen wie toegang heeft tot geheimen en sleutels.The vault owner can also set up auditing to log who accesses secrets and keys. Beheerders kunnen de levenscyclus van sleutels beheren.Administrators can control the key lifecycle. Ze kunnen een nieuwe versie van de sleutel instellen, een back-up maken en gerelateerde taken uitvoeren.They can roll to a new version of the key, back it up, and do related tasks.
  • Kluis consument: Een kluis consument kan acties uitvoeren op de elementen in de key vault wanneer de eigenaar van de kluis toegang tot de consument verleent.Vault consumer: A vault consumer can perform actions on the assets inside the key vault when the vault owner grants the consumer access. De beschikbare acties zijn afhankelijk van de verleende machtigingen.The available actions depend on the permissions granted.
  • Resource: Een resource is een beheerbaar item dat is beschikbaar via Azure.Resource: A resource is a manageable item that's available through Azure. Sommige algemene resources zijn een virtuele machine, opslagaccount, webtoepassing en virtueel netwerk, maar er zijn er veel meer.Some common resources are a virtual machine, storage account, web app, database, and virtual network, but there are many more.
  • Resourcegroep: Een resourcegroep is een container met gerelateerde resources voor een Azure-oplossing.Resource group: A resource group is a container that holds related resources for an Azure solution. De resourcegroep kan alle resources voor de oplossing bevatten of enkel de resources die u als groep wilt beheren.The resource group can include all the resources for the solution, or only those resources that you want to manage as a group. U bepaalt hoe resources worden toegewezen aan resourcegroepen op basis van wat voor uw organisatie het meest zinvol is.You decide how you want to allocate resources to resource groups, based on what makes the most sense for your organization.
  • Service-Principal -een Azure service-principal is een beveiligings-id die is gebruikt door gebruiker gemaakte apps, services en automatiseringsprogramma's voor toegang tot specifieke Azure-resources.Service Principal - An Azure service principal is a security identity used by user-created apps, services, and automation tools to access specific Azure resources. U kunt een service-principal vergelijken met een gebruikers-id (gebruikersnaam en wachtwoord of certificaat) die een specifieke rol heeft en over nauwkeurig omschreven machtigingen beschikt.Think of it as a 'user identity' (username and password or certificate) with a specific role, and tightly controlled permissions. Anders dan een algemene gebruikers-id, hoeft een service-principal slechts enkele specifieke handelingen uit te kunnen voeren.A service principal should only need to do specific things, unlike a general user identity. De beveiliging verbetert erdoor als u er net voldoende machtigingen aan verleent om de beheertaken te kunnen uitvoeren.It improves security if you only grant it the minimum permissions level needed to perform its management tasks.
  • Azure Active Directory (Azure AD): Azure AD is de Active Directory-service voor een tenant.Azure Active Directory (Azure AD): Azure AD is the Active Directory service for a tenant. Elke adreslijst heeft een of meer domeinen.Each directory has one or more domains. Aan een directory kunnen vele abonnementen zijn gekoppeld, maar slechts één tenant.A directory can have many subscriptions associated with it, but only one tenant.
  • Azure-tenant-ID: Een tenant-ID is een unieke manier om een Azure AD-exemplaar binnen een Azure-abonnement te identificeren.Azure tenant ID: A tenant ID is a unique way to identify an Azure AD instance within an Azure subscription.
  • Identiteiten voor een Azure-resources beheerd: Azure Key Vault biedt een manier voor het veilig opslaan van referenties en andere sleutels en geheimen, maar uw code moet worden geverifieerd voor Key Vault om ze op te halen.Managed identities for Azure resources: Azure Key Vault provides a way to securely store credentials and other keys and secrets, but your code needs to authenticate to Key Vault to retrieve them. Met behulp van een beheerde identiteit, maakt het oplossen van dit probleem eenvoudiger door middel van Azure-services een automatisch beheerde identiteit in Azure AD.Using a managed identity makes solving this problem simpler by giving Azure services an automatically managed identity in Azure AD. U kunt deze identiteit gebruiken voor verificatie bij Key Vault bij alle services die ondersteuning bieden voor Microsoft Azure Active Directory-verificatie, zonder dat u referenties in uw code hoeft te hebben.You can use this identity to authenticate to Key Vault or any service that supports Azure AD authentication, without having any credentials in your code. Voor meer informatie, Zie de onderstaande afbeelding en de beheerde identiteiten voor een overzicht van Azure-resources.For more information, see the image below and the managed identities for Azure resources overview.

    Diagram van hoe u beheerde identiteiten voor Azure-resources

Rollen van Key VaultKey Vault roles

Gebruik de volgende tabel om beter te begrijpen hoe Key Vault u kan helpen om aan de behoeften van ontwikkelaars en beveiligingsadministrators te voldoen.Use the following table to better understand how Key Vault can help to meet the needs of developers and security administrators.

RolRole ProbleemformuleringProblem statement Opgelost door Azure Key VaultSolved by Azure Key Vault
Ontwikkelaar voor een Azure-toepassingDeveloper for an Azure application "Ik wil een toepassing voor Azure schrijven die voor de ondertekening en versleuteling gebruikmaakt van sleutels. Dit moeten echter wel externe sleutels zijn, zodat de oplossing geschikt is voor een toepassing die geografisch wordt gedistribueerd.“I want to write an application for Azure that uses keys for signing and encryption, but I want these keys to be external from my application so that the solution is suitable for an application that is geographically distributed.

Ik wil dat deze sleutels en geheimen worden beveiligd, zonder dat ik de code zelf hoef te schrijven.I want these keys and secrets to be protected, without having to write the code myself. Ik wil ook dat deze sleutels en geheimen eenvoudig zijn te gebruiken vanuit mijn toepassingen, met optimale prestaties."I also want these keys and secrets to be easy for me to use from my applications, with optimal performance.”
√ De sleutels worden opgeslagen in een kluis en wanneer dit nodig is, aangeroepen via een URI.√ Keys are stored in a vault and invoked by URI when needed.

√ De sleutels worden beveiligd door Azure. Hiervoor wordt gebruikgemaakt van algoritmen, sleutellengten en HSM's die voldoen aan de industriestandaard.√ Keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules.

√ Sleutels worden verwerkt in HSM's die zich in dezelfde Azure-datacenters bevinden als de toepassingen.√ Keys are processed in HSMs that reside in the same Azure datacenters as the applications. Deze methode biedt betere betrouwbaarheid en minder latentie dan wanneer de sleutels zich op een afzonderlijke locatie bevinden, zoals on-premises.This method provides better reliability and reduced latency than keys that reside in a separate location, such as on-premises.
SaaS-ontwikkelaar (Software as a Service)Developer for software as a service (SaaS) "Ik wil niet de verantwoordelijk of potentiële aansprakelijkheid voor de tenantsleutels en -geheimen van mijn klant op mij nemen.“I don’t want the responsibility or potential liability for my customers’ tenant keys and secrets.

Ik wil dat klanten hun sleutels zelf in eigendom hebben en beheren, zodat ik mij kan concentreren op de zaken waar ik het beste in ben, namelijk het leveren van de kernsoftwarefuncties."I want customers to own and manage their keys so that I can concentrate on doing what I do best, which is providing the core software features.”
√ Klanten kunnen hun eigen sleutels in Azure importeren en beheren.√ Customers can import their own keys into Azure, and manage them. Wanneer een SaaS-toepassing cryptografiebewerkingen moet uitvoeren met de sleutels van de klant, voert Key Vault deze bewerkingen namens de toepassing uit.When a SaaS application needs to perform cryptographic operations by using their customers’ keys, Key Vault does these operations on behalf of the application. De toepassing krijgt de sleutels van de klant niet te zien.The application does not see the customers’ keys.
Chief Security Officer (CSO)Chief security officer (CSO) "Ik wil weten of onze toepassingen voldoen aan de FIPS 140-2 Level 2 HSM's voor beveiligd sleutelbeheer.“I want to know that our applications comply with FIPS 140-2 Level 2 HSMs for secure key management.

Ik wil ervoor zorgen dat mijn organisatie de controle heeft over de levenscyclus van de sleutel en het sleutelgebruik kan bewaken.I want to make sure that my organization is in control of the key lifecycle and can monitor key usage.

En hoewel we meerdere Azure-services en -resources gebruiken, wil ik de sleutels kunnen beheren vanaf één locatie in Azure."And although we use multiple Azure services and resources, I want to manage the keys from a single location in Azure.”
√ HSM's zijn FIPS 140-2 Level 2-gevalideerde modules.√ HSMs are FIPS 140-2 Level 2 validated.

√ Key Vault is zodanig ontworpen dat Microsoft uw sleutels niet kan zien of extraheren.√ Key Vault is designed so that Microsoft does not see or extract your keys.

√ Sleutelgebruik wordt vrijwel in realtime vastgelegd.√ Key usage is logged in near real time.

√ De kluis biedt één interface, ongeacht het aantal kluizen dat u in Azure hebt, welke regio's ze ondersteunen en door welke toepassingen ze worden gebruikt.√ The vault provides a single interface, regardless of how many vaults you have in Azure, which regions they support, and which applications use them.

Iedereen met een Azure-abonnement kan sleutelkluizen maken en gebruiken.Anybody with an Azure subscription can create and use key vaults. Hoewel Key Vault voordelen biedt voor ontwikkelaars en beveiligingsbeheerders, kan de service worden geïmplementeerd en beheerd door een beheerder die ook andere Azure-services voor een organisatie beheert.Although Key Vault benefits developers and security administrators, it can be implemented and managed by an organization’s administrator who manages other Azure services for an organization. De beheerder kan zich bijvoorbeeld aanmelden met een Azure-abonnement, een kluis voor de organisatie maken waarin sleutels worden opgeslagen en verantwoordelijk zijn voor operationele taken, zoals:For example, this administrator can sign in with an Azure subscription, create a vault for the organization in which to store keys, and then be responsible for operational tasks, such as:

  • Een sleutel of geheim maken of importeren.Create or import a key or secret
  • Een sleutel of geheim intrekken of verwijderen.Revoke or delete a key or secret
  • Gebruikers of toepassingen machtigingen verlenen voor toegang tot de sleutelkluis, zodat ze de sleutels en geheimen in de kluis kunnen beheren of gebruiken.Authorize users or applications to access the key vault, so they can then manage or use its keys and secrets
  • Sleutelgebruik configureren (bijvoorbeeld ondertekenen of versleutelen).Configure key usage (for example, sign or encrypt)
  • Sleutelgebruik bewaken.Monitor key usage

De beheerder kan de ontwikkelaars vervolgens voorzien van URI's die kunnen worden aangeroepen vanuit hun toepassingen. Daarnaast kan de beheerder de beveiligingsadministrator logboekregistratiegegevens over het gebruik van de sleutel verstrekken.This administrator would then provide developers with URIs to call from their applications, and provide their security administrator with key usage logging information.

! [Overzicht van de werking van Azure Key Vault] [1]![Overview of how Azure Key Vault works][1]

Ontwikkelaars kunnen de sleutels ook rechtstreeks beheren door gebruik te maken van API's.Developers can also manage the keys directly, by using APIs. Zie Ontwikkelaarshandleiding voor Key Vault voor meer informatie.For more information, see the Key Vault developer's guide.

Volgende stappenNext steps

Meer informatie over het beveiligen van uw kluis [1]:./media/key-vault-whatis/AzureKeyVault_overview.png Azure Key Vault is beschikbaar in de meeste regio's.Learn how to secure your vault [1]: ./media/key-vault-whatis/AzureKeyVault_overview.png Azure Key Vault is available in most regions. Zie de pagina Prijzen van Key Vault voor meer informatie.For more information, see the Key Vault pricing page.