Informacje o usłudze Azure Key Vault

Usługa Azure Key Vault jest jednym z kilku kluczowych rozwiązań do zarządzania na platformie Azure i pomaga rozwiązać następujące problemy:

• Zarządzanie wpisami tajnymi — usługa Azure Key Vault może służyć do bezpiecznego przechowywania i ścisłego kontrolowania dostępu do tokenów, haseł, certyfikatów, kluczy interfejsu API i innych wpisów tajnych.
• Zarządzanie kluczami — usługa Azure Key Vault może służyć jako rozwiązanie do zarządzania kluczami. Usługa Azure Key Vault ułatwia tworzenie i kontrolowanie kluczy szyfrowania używanych do szyfrowania danych.
• Zarządzanie certyfikatami — usługa Azure Key Vault umożliwia łatwe aprowizowanie i wdrażanie publicznych i prywatnych certyfikatów zabezpieczeń warstwy transportu/protokołu SSL (Secure Sockets Layer) do użytku z platformą Azure i wewnętrznymi połączonymi zasobami.

Usługa Azure Key Vault ma dwie warstwy usług: Standardowa, która szyfruje przy użyciu klucza oprogramowania i warstwę Premium, która obejmuje klucze chronione przez sprzętowy moduł zabezpieczeń (HSM). Aby wyświetlić porównanie warstw Standardowa i Premium, zobacz stronę cennika usługi Azure Key Vault.

Uwaga

Zero Trust to strategia zabezpieczeń obejmująca trzy zasady: "Weryfikuj jawnie", "Użyj dostępu z najmniejszymi uprawnieniami" i "Przyjmij naruszenie". Ochrona danych, w tym zarządzanie kluczami, obsługuje zasadę "najmniej uprzywilejowanego dostępu". Aby uzyskać więcej informacji, zobacz Co to jest zero trust?

Jakie są zalety korzystania z usługi Azure Key Vault?

Scentralizowana obsługa wpisów tajnych aplikacji

Centralny magazyn wpisów tajnych aplikacji w usłudze Azure Key Vault umożliwia kontrolowanie ich dystrybucji. Usługa Key Vault znacznie ogranicza prawdopodobieństwo przypadkowego ujawnienia wpisów tajnych. Gdy deweloperzy aplikacji używają usługi Key Vault, nie muszą już przechowywać informacji zabezpieczających w swojej aplikacji. Ponieważ nie trzeba już przechowywać informacji o zabezpieczeniach w aplikacjach, nie ma potrzeby używania tych informacji w kodzie. Na przykład aplikacja może potrzebować połączenia z bazą danych. Zamiast przechowywać parametry połączenia w kodzie aplikacji można je przechowywać bezpiecznie w usłudze Key Vault.

Twoje aplikacje mogą bezpiecznie uzyskiwać dostęp do potrzebnych informacji za pomocą identyfikatorów URI. Te identyfikatory URI umożliwiają aplikacjom pobranie określonych wersji wpisu tajnego. Nie ma potrzeby pisania kodu niestandardowego w celu ochrony żadnych informacji tajnych przechowywanych w usłudze Key Vault.

Bezpieczne przechowywanie wpisów tajnych i kluczy

Udzielenie dostępu do magazynu kluczy wywołującemu użytkownikowi lub aplikacji wymaga odpowiedniego uwierzytelnienia i autoryzacji. Uwierzytelnianie ustanawia tożsamość obiektu wywołującego, a autoryzacja określa operacje, które mogą wykonywać.

Uwierzytelnianie odbywa się za pośrednictwem identyfikatora Entra firmy Microsoft. Autoryzacja może odbywać się za pomocą kontroli dostępu opartej na rolach (RBAC) platformy Azure lub zasad dostępu usługi Key Vault. Kontrola dostępu oparta na rolach platformy Azure może służyć zarówno do zarządzania magazynami, jak i do uzyskiwania dostępu do danych przechowywanych w magazynie, podczas gdy zasady dostępu do magazynu kluczy mogą być używane tylko podczas próby uzyskania dostępu do danych przechowywanych w magazynie.

Usługa Azure Key Vault może być chroniona przez oprogramowanie lub w warstwie Premium usługi Azure Key Vault chroniona sprzętowo przez sprzętowe moduły zabezpieczeń (HSM). Klucze chronione przez oprogramowanie, wpisy tajne i certyfikaty są chronione przez platformę Azure przy użyciu standardowych algorytmów branżowych i długości kluczy. W sytuacjach, w których wymagane jest dodatkowe zapewnienie, można zaimportować lub wygenerować klucze w modułach HSM, które nigdy nie opuszczają granicy modułu HSM. Usługa Azure Key Vault używa zweryfikowanych modułów HSM w standardzie Federal Information Processing Standard 140. Aby przenieść klucz z modułu HSM do usługi Azure Key Vault, możesz użyć dostarczonych przez dostawcę modułów HSM.

Na koniec usługa Azure Key Vault została zaprojektowana tak, aby firma Microsoft nie widziała ani nie wyodrębniała danych.

Monitorowanie dostępu i użycia

Po utworzeniu kilku magazynów kluczy warto monitorować sposób i czas uzyskiwania dostępu do kluczy i wpisów tajnych. Działanie można monitorować przez włączenie rejestrowania dla magazynów. Usługę Azure Key Vault można skonfigurować w następujących celach:

• Zarchiwizuj na koncie magazynu.
• Przesyłaj strumieniowo do centrum zdarzeń.
• Wyślij dzienniki do dzienników usługi Azure Monitor.

Kontrolujesz dzienniki i możesz je zabezpieczyć przez ograniczenie dostępu, a także możesz usunąć dzienniki, które nie są już potrzebne.

Uproszczone administrowanie wpisami tajnymi aplikacji

W przypadku przechowywania cennych danych należy wykonać kilka czynności. Informacje o zabezpieczeniach muszą być zabezpieczone, muszą być zgodne z cyklem życia i muszą być wysoce dostępne. Usługa Azure Key Vault upraszcza proces spełnienia tych wymagań przez:

• Usuwanie konieczności posiadania wiedzy na temat sprzętowych modułów zabezpieczeń.
• Skalowanie w górę w krótkim czasie w celu spełnienia skoków użycia organizacji.
• Replikowanie zawartości usługi Key Vault w regionie do regionu pomocniczego. Replikacja danych zapewnia wysoką dostępność i eliminuje konieczność wykonywania jakichkolwiek czynności przez administratora w celu wyzwolenia trybu failover.
• Udostępnianie standardowych opcji administrowania platformą Azure za pośrednictwem portalu, interfejsu wiersza polecenia platformy Azure i programu PowerShell.
• Zautomatyzowanie pewnych zadań związanych z certyfikatami kupowanymi od publicznych urzędów certyfikacji, na przykład ich rejestracji i odnawiania.

Usługa Azure Key Vault umożliwia także rozdzielenie wpisów tajnych aplikacji. Aplikacje mogą uzyskiwać dostęp tylko do magazynu, do którego mogą uzyskiwać dostęp, i mogą być ograniczone tylko do wykonywania określonych operacji. Istnieje możliwość utworzenia usługi Azure Key Vault dla aplikacji i ograniczenia użycia wpisów tajnych przechowywanych w usłudze Key Vault do konkretnej aplikacji i konkretnego zespołu deweloperów.

Integracja z innymi usługami platformy Azure

Jako bezpieczny magazyn na platformie Azure usługa Key Vault jest używana do upraszczania takich scenariuszy jak:

• Usługa Azure Disk Encryption
• Funkcja always encrypted i Transparent Data Encryption na serwerze SQL i w usłudze Azure SQL Database
• Azure App Service.

Samą usługę Key Vault można zintegrować z kontami magazynu, centrami zdarzeń i analizą dzienników.

Następne kroki

• Zarządzanie kluczami na platformie Azure
• Dowiedz się więcej o kluczach, wpisach tajnych i certyfikatach
• Szybki start: tworzenie usługi Azure Key Vault przy użyciu interfejsu wiersza polecenia
• Uwierzytelnianie, żądania i odpowiedzi
• Co to jest zero trust?