Informacje o usłudze Azure Key Vault

Usługa Azure Key Vault pomaga rozwiązać następujące problemy:

  • Zarządzanie wpisami tajnymi — usługa Azure Key Vault może służyć do bezpiecznego przechowywania i ścisłego kontrolowania dostępu do tokenów, haseł, certyfikatów, kluczy interfejsu API i innych wpisów tajnych.
  • Zarządzanie kluczami — Azure Key Vault może służyć jako rozwiązanie do zarządzania kluczami. Usługa Azure Key Vault ułatwia tworzenie i kontrolowanie kluczy szyfrowania używanych do szyfrowania danych.
  • Zarządzanie certyfikatami — usługa Azure Key Vault umożliwia łatwe aprowizowanie i wdrażanie publicznych i prywatnych certyfikatów Transport Layer Security/Secure Sockets Layer (TLS/SSL) do użycia z platformą Azure i połączonymi zasobami wewnętrznymi oraz zarządzanie nimi.

Azure Key Vault ma dwie warstwy usług: Standardowa, która szyfruje klucz oprogramowania, oraz warstwę Premium, która obejmuje klucze chronione przez sprzętowy moduł zabezpieczeń (HSM). Aby wyświetlić porównanie warstw Standardowa i Premium, zobacz stronę Azure Key Vault cennika.

Jakie są zalety korzystania z usługi Azure Key Vault?

Scentralizowana obsługa wpisów tajnych aplikacji

Centralny magazyn wpisów tajnych aplikacji w usłudze Azure Key Vault umożliwia kontrolowanie ich dystrybucji. Usługa Key Vault znacznie ogranicza prawdopodobieństwo przypadkowego ujawnienia wpisów tajnych. Korzystając z usługi Key Vault, deweloperzy aplikacji nie muszą już przechowywać informacji zabezpieczeń w aplikacji. Ponieważ nie trzeba już przechowywać informacji o zabezpieczeniach w aplikacjach, nie ma potrzeby używania tych informacji w kodzie. Na przykład aplikacja może potrzebować połączenia z bazą danych. Zamiast przechowywać parametry połączenia w kodzie aplikacji można je przechowywać bezpiecznie w usłudze Key Vault.

Twoje aplikacje mogą bezpiecznie uzyskiwać dostęp do potrzebnych informacji za pomocą identyfikatorów URI. Te identyfikatory URI umożliwiają aplikacjom pobranie określonych wersji wpisu tajnego. Nie ma konieczności pisania niestandardowego kodu w celu ochrony poufnych informacji przechowywanych w usłudze Key Vault.

Bezpieczne przechowywanie wpisów tajnych i kluczy

Udzielenie dostępu do magazynu kluczy wywołującemu użytkownikowi lub aplikacji wymaga odpowiedniego uwierzytelnienia i autoryzacji. Uwierzytelnianie ustala tożsamość elementu wywołującego, a autoryzacja określa, jakie operacje może on wykonywać.

Uwierzytelnianie jest wykonywane za pośrednictwem usługi Azure Active Directory. Autoryzację można wykonać za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure lub Key Vault dostępu. RBAC platformy Azure jest używana podczas zarządzania magazynami, a zasady dostępu magazynu kluczy są używane podczas próby uzyskania dostępu do danych przechowywanych w magazynie.

Magazyny usługi Azure Key Vault mogą być chronione przez oprogramowanie lub, w warstwie Azure Key Vault Premium, chronione sprzętowo przez sprzętowe moduły zabezpieczeń (HSM). Klucze, wpisy tajne i certyfikaty chronione przez oprogramowanie są chronione przez platformę Azure przy użyciu standardowych algorytmów branżowych i długości kluczy. W sytuacjach, w których wymagane jest dodatkowe zapewnienie, można zaimportować lub wygenerować klucze w modułach HSM, które nigdy nie opuszczają granicy modułu HSM. Azure Key Vault korzysta z nCipher HSM, które są zweryfikowane w standardzie Federal Information Processing Standards (FIPS) 140-2 poziom 2. Możesz użyć narzędzi nCipher, aby przenieść klucz z modułu HSM do Azure Key Vault.

Usługa Azure Key Vault została zaprojektowana w taki sposób, aby firma Microsoft nie miała wglądu w Twoje dane ani nie mogła ich wyodrębnić.

Monitorowanie dostępu i użycia

Po utworzeniu kilku magazynów usługi Key Vault może zajść potrzeba monitorowania sposobu oraz czasu dostępu do kluczy i wpisów tajnych. Działanie można monitorować przez włączenie rejestrowania dla magazynów. Usługę Azure Key Vault można skonfigurować w następujących celach:

  • Archiwizowanie na koncie magazynu.
  • Przesyłanie strumieniowe do centrum zdarzeń.
  • Wysyłanie dzienników do Azure Monitor dzienniki.

Kontrolujesz dzienniki i możesz je zabezpieczyć przez ograniczenie dostępu, a także możesz usunąć dzienniki, które nie są już potrzebne.

Uproszczone administrowanie wpisami tajnymi aplikacji

W przypadku przechowywania cennych danych należy wykonać kilka czynności. Informacje o zabezpieczeniach muszą być zabezpieczone, muszą być zgodne z cyklem życia i muszą być wysoce dostępne. Usługa Azure Key Vault upraszcza proces spełnienia tych wymagań przez:

  • Usunięcie konieczności znajomości sprzętowych modułów zabezpieczeń.
  • Skalowanie w górę w krótkim czasie w celu zaspokojenia skokowych wzrostów użycia w organizacji.
  • Replikowanie zawartości usługi Key Vault w regionie do regionu pomocniczego. Replikacja danych zapewnia wysoką dostępność i eliminuje konieczność wykonywania jakichkolwiek czynności przez administratora w celu wyzwolenia trybu failover.
  • Udostępnianie standardowych opcji administrowania platformą Azure za pośrednictwem portalu, interfejsu wiersza polecenia platformy Azure i programu PowerShell.
  • Zautomatyzowanie pewnych zadań związanych z certyfikatami kupowanymi od publicznych urzędów certyfikacji, na przykład ich rejestracji i odnawiania.

Usługa Azure Key Vault umożliwia także rozdzielenie wpisów tajnych aplikacji. Aplikacje mają dostęp tylko do magazynu, do którego zezwolono im na dostęp, i mogą zostać ograniczone do wykonywania tylko określonych operacji. Istnieje możliwość utworzenia usługi Azure Key Vault dla aplikacji i ograniczenia użycia wpisów tajnych przechowywanych w usłudze Key Vault do konkretnej aplikacji i konkretnego zespołu deweloperów.

Integracja z innymi usługami platformy Azure

Jako bezpieczny magazyn na platformie Azure usługa Key Vault jest używana do upraszczania takich scenariuszy jak:

Samą usługę Key Vault można zintegrować z kontami magazynu, centrami zdarzeń i analizą dzienników.

Następne kroki