Podstawowe pojęcia dotyczące usługi Azure Key Vault

  • Artykuł

Azure Key Vault to usługa w chmurze do bezpiecznego przechowywania i uzyskiwania dostępu do wpisów tajnych. Wpis tajny to wszystko, do czego chcesz ściśle kontrolować dostęp, na przykład klucze interfejsu API, hasła, certyfikaty lub klucze kryptograficzne. Usługa Key Vault obsługuje dwa typy kontenerów: magazyny i zarządzane pule modułów zabezpieczeń sprzętu (HSM). Magazyny obsługują przechowywanie kluczy, wpisów tajnych i certyfikatów opartych na oprogramowaniu i modułach HSM. Zarządzane pule modułów HSM obsługują tylko klucze oparte na module HSM. Aby uzyskać szczegółowe informacje, zobacz Omówienie interfejsu API REST usługi Azure Key Vault.

Oto inne ważne terminy:

  • Dzierżawa — dzierżawa to organizacja, która jest właścicielem konkretnego wystąpienia usług firmy Microsoft w chmurze i zarządza nim. Najczęściej jest używany do odwoływania się do zestawu usług platformy Azure i platformy Microsoft 365 dla organizacji.

  • Właściciel magazynu — właściciel magazynu może utworzyć magazyn kluczy, ma do niego pełny dostęp i kontrolę nad nim. Właściciel magazynu może też skonfigurować inspekcję, aby rejestrować, kto uzyskuje dostęp do wpisów tajnych i kluczy. Administratorzy mogą kontrolować cykl życia klucza. Mogą oni wdrażać nowe wersje klucza, tworzyć jego kopie zapasowe i wykonywać powiązane zadania.

  • Użytkownik magazynu — użytkownik magazynu może wykonywać akcje na zasobach wewnątrz magazynu kluczy, jeśli właściciel magazynu udzieli mu dostępu. Dostępne akcje zależą od przyznanych uprawnień.

  • Zarządzane Administracja istratory modułu HSM: użytkownicy, którym przypisano rolę Administracja istrator, mają pełną kontrolę nad zarządzaną pulą modułów HSM. Mogą tworzyć więcej przypisań ról, aby delegować kontrolowany dostęp do innych użytkowników.

  • Zarządzany oficer kryptograficzny/użytkownik modułu HSM: wbudowane role, które są zwykle przypisywane do użytkowników lub jednostek usługi, które będą wykonywać operacje kryptograficzne przy użyciu kluczy w zarządzanym module HSM. Użytkownik kryptograficzny może tworzyć nowe klucze, ale nie może usuwać kluczy.

  • Zarządzany użytkownik szyfrowania usługi kryptograficznej HSM: wbudowana rola, która jest zwykle przypisywana do tożsamości usługi zarządzanej kont usług (na przykład konta magazynu) na potrzeby szyfrowania danych magazynowanych przy użyciu klucza zarządzanego przez klienta.

  • Zasób — zasób to dostępny za pośrednictwem platformy Azure element, którym można zarządzać. Typowe przykłady to maszyna wirtualna, konto magazynu, aplikacja internetowa, baza danych i sieć wirtualna. Jest o wiele więcej.

  • Grupa zasobów — grupa zasobów to kontener, który zawiera powiązane zasoby dla rozwiązania platformy Azure. Grupa zasobów może zawierać wszystkie zasoby dla rozwiązania lub tylko te zasoby, które mają być zarządzane jako grupa. Użytkownik decyduje o sposobie przydziału zasobów do grup zasobów pod kątem tego, co jest najbardziej odpowiednie dla danej organizacji.

  • Podmiot zabezpieczeń: Podmiot zabezpieczeń platformy Azure to tożsamość zabezpieczeń, która służy do uzyskiwania dostępu do określonych zasobów platformy Azure utworzonych przez użytkownika aplikacji, usług i narzędzi automatyzacji. Należy traktować ją jako "tożsamość użytkownika" (nazwę użytkownika i hasło lub certyfikat) z określoną rolą i ściśle kontrolowane uprawnienia. Podmiot zabezpieczeń powinien wykonywać tylko określone czynności, w przeciwieństwie do ogólnej tożsamości użytkownika. Zwiększa bezpieczeństwo, jeśli przyznasz mu tylko minimalny poziom uprawnień, który musi wykonywać zadania zarządzania. Jednostka zabezpieczeń używana z aplikacją lub usługą jest nazywana jednostką usługi.

  • Microsoft Entra ID: Microsoft Entra ID to usługa Active Directory dla dzierżawy. Każdy katalog ma co najmniej jedną domenę. Katalog może mieć wiele skojarzonych subskrypcji, ale tylko jedną dzierżawę.

  • Identyfikator dzierżawy platformy Azure: identyfikator dzierżawy to unikatowy sposób identyfikowania wystąpienia usługi Microsoft Entra w ramach subskrypcji platformy Azure.

  • Tożsamości zarządzane: usługa Azure Key Vault umożliwia bezpieczne przechowywanie poświadczeń i innych kluczy i wpisów tajnych, ale kod musi uwierzytelniać się w usłudze Key Vault, aby je pobrać. Użycie tożsamości zarządzanej sprawia, że rozwiązanie tego problemu jest prostsze, udostępniając usługom platformy Azure automatycznie zarządzaną tożsamość w identyfikatorze Entra firmy Microsoft. Tej tożsamości można użyć do uwierzytelniania w usłudze Key Vault lub dowolnej usłudze obsługującej uwierzytelnianie firmy Microsoft Entra bez konieczności posiadania poświadczeń w kodzie. Aby uzyskać więcej informacji, zobacz poniższą ilustrację i omówienie tożsamości zarządzanych dla zasobów platformy Azure.

Uwierzytelnianie

Aby wykonać wszystkie operacje w usłudze Key Vault, należy najpierw przeprowadzić jego uwierzytelnianie. Istnieją trzy sposoby uwierzytelniania w usłudze Key Vault:

  • Tożsamości zarządzane dla zasobów platformy Azure: podczas wdrażania aplikacji na maszynie wirtualnej na platformie Azure można przypisać tożsamość do maszyny wirtualnej, która ma dostęp do usługi Key Vault. Tożsamości można również przypisywać do innych zasobów platformy Azure. Zaletą tego podejścia jest to, że aplikacja lub usługa nie zarządza rotacją pierwszego wpisu tajnego. Platforma Azure automatycznie obraca tożsamość. Zalecamy takie podejście jako najlepsze rozwiązanie.
  • Jednostka usługi i certyfikat: możesz użyć jednostki usługi i skojarzonego certyfikatu, który ma dostęp do usługi Key Vault. Nie zalecamy tego podejścia, ponieważ właściciel aplikacji lub deweloper musi wymienić certyfikat.
  • Jednostka usługi i wpis tajny: chociaż można użyć jednostki usługi i wpisu tajnego do uwierzytelniania w usłudze Key Vault, nie zalecamy jej. Trudno jest automatycznie obrócić wpis tajny bootstrap używany do uwierzytelniania w usłudze Key Vault.

Szyfrowanie danych w tranzycie

Usługa Azure Key Vault wymusza protokół Transport Layer Security (TLS) w celu ochrony danych podczas podróży między usługą Azure Key Vault i klientami. Klienci negocjują połączenie TLS z usługą Azure Key Vault. Protokół TLS zapewnia silne uwierzytelnianie, prywatność wiadomości i integralność (umożliwia wykrywanie naruszenia, przechwytywania i fałszowania komunikatów), współdziałanie, elastyczność algorytmu oraz łatwość wdrażania i używania.

Perfect Forward Secrecy (PFS) chroni połączenia między systemami klienckimi klientów i usługami firmy Microsoft w chmurze za pomocą unikatowych kluczy. Połączenie ions używają również 2048-bitowych długości kluczy szyfrowania opartych na protokole RSA. Ta kombinacja utrudnia komuś przechwytywanie i uzyskiwanie dostępu do danych przesyłanych.

Role usługi Key Vault

Użyj poniższej tabeli, aby lepiej zrozumieć, w jaki sposób usługa Key Vault może pomóc deweloperom i administratorom zabezpieczeń w spełnianiu ich potrzeb.

Rola Opis problemu Rozwiązanie usługi Azure Key Vault
Deweloper aplikacji platformy Azure "Chcę napisać aplikację dla platformy Azure, która używa kluczy do podpisywania i szyfrowania. Chcę jednak, aby te klucze były zewnętrzne od mojej aplikacji, aby rozwiązanie było odpowiednie dla aplikacji rozproszonej geograficznie.

Chcę także, aby klucze i wpisy tajne były chronione, ale bez konieczności samodzielnego pisania kodu. Chcę również, aby te klucze i wpisy tajne były dla mnie łatwe do użycia z moich aplikacji z optymalną wydajnością.		 √ Klucze są przechowywane w magazynie i w razie potrzeby wywoływane przez identyfikator URI.

√ Klucze są chronione przez platformę Azure przy użyciu branżowych standardów dotyczących algorytmów, długości klucza i sprzętowych modułów zabezpieczeń (HSM, hardware security module).

√ Klucze są przetwarzane w modułach HSM, które znajdują się w tych samych centrach danych platformy Azure co aplikacje. Ta metoda zapewnia większą niezawodność i mniejsze opóźnienia niż klucze przechowywane w osobnej lokalizacji, na przykład lokalnie.
Deweloper oprogramowania jako usługi (SaaS) "Nie chcę odpowiedzialności ani potencjalnej odpowiedzialności za klucze dzierżawy i wpisy tajne moich klientów.

Chcę, aby klienci posiadali swoje klucze i zarządzali nimi, aby mogli skoncentrować się na wykonywaniu tego, co robię najlepiej, co zapewnia podstawowe funkcje oprogramowania.		 √ Klienci mogą importować własne klucze do platformy Azure i zarządzać nimi. Gdy aplikacja SaaS musi wykonywać operacje kryptograficzne przy użyciu kluczy klientów, usługa Key Vault wykonuje te operacje w imieniu aplikacji. Aplikacja nie widzi kluczy klientów.
Chief Security Officer (CSO) "Chcę wiedzieć, że nasze aplikacje są zgodne z modułami HSM fiPS 140 level 3 na potrzeby bezpiecznego zarządzania kluczami.

Chcę się upewnić, że moja organizacja kontroluje cykl życia klucza i monitoruje jego użycie.

Mimo że używamy wielu usług i zasobów platformy Azure, chcę zarządzać kluczami z jednej lokalizacji na platformie Azure.		 √ Wybierz magazyny lub zarządzane moduły HSM dla zweryfikowanych modułów HSM fiPS 140.
√ Wybierz zarządzane pule modułów HSM dla zweryfikowanych modułów HSM fiPS 140-2 poziom 3.

√ Usługa Key Vault jest zaprojektowana w taki sposób, aby firma Microsoft nie miała wglądu w Twoje klucze ani nie mogła ich wyodrębnić.
√ Użycie klucza jest rejestrowane w czasie niemal rzeczywistym.

√ Magazyn zapewnia jeden interfejs, niezależnie od tego, jak wiele magazynów masz na platformie Azure, które regiony są przez nie obsługiwane oraz które aplikacje ich używają.

Każdy posiadacz subskrypcji Azure może tworzyć magazyny kluczy i z nich korzystać. Mimo że usługa Key Vault zapewnia korzyści deweloperom i administratorom zabezpieczeń, może być implementowana i zarządzana przez administratora organizacji, który zarządza innymi usługami platformy Azure. Na przykład ten administrator może zalogować się przy użyciu subskrypcji platformy Azure, utworzyć magazyn dla organizacji, w której będą przechowywane klucze, a następnie być odpowiedzialny za zadania operacyjne, takie jak:

  • Tworzenie lub importowanie klucza lub klucza tajnego
  • Odwoływanie lub usuwanie klucza lub klucza tajnego
  • Zezwalanie użytkownikom lub aplikacjom na dostęp do magazynu kluczy, aby mogli zarządzać kluczami i kluczami tajnymi lub używać ich
  • Konfigurowanie użycia klucza (na przykład rejestrowanie lub szyfrowanie)
  • Monitorowanie użycia klucza

Następnie administrator udostępnia deweloperom identyfikatory URI do wywoływania z aplikacji. Ten administrator udostępnia również administratorowi zabezpieczeń informacje o rejestrowaniu użycia klucza.

Overview of how Azure Key Vault works

Deweloperzy mogą również zarządzać kluczami bezpośrednio za pomocą interfejsów API. Aby uzyskać więcej informacji, zobacz artykuł Przewodnik dewelopera usługi Key Vault.

Następne kroki

Usługa Azure Key Vault jest dostępna w większości regionów. Aby uzyskać więcej informacji, zobacz stronę Cennik usługi Key Vault.