Opis usługi Azure Key Vault

  • 3 min

Azure Key Vault to usługa w chmurze do bezpiecznego przechowywania i uzyskiwania dostępu do wpisów tajnych. Wpis tajny to wszystko, do czego chcesz ściśle kontrolować dostęp, na przykład klucze interfejsu API, hasła, certyfikaty lub klucze kryptograficzne.

Usługa Azure Key Vault pomaga rozwiązać następujące problemy:

  • Zarządzanie wpisami tajnymi. Za pomocą usługi Key Vault można bezpiecznie i ściśle kontrolować dostęp do tokenów, haseł, certyfikatów, kluczy interfejsu API (Application Programming Interface) i innych wpisów tajnych.
  • Zarządzanie kluczami. Usługi Key Vault można używać jako rozwiązania do zarządzania kluczami. Usługa Key Vault ułatwia tworzenie i kontrolowanie kluczy szyfrowania używanych do szyfrowania danych.
  • Zarządzanie certyfikatami. Usługa Key Vault umożliwia aprowizowanie i wdrażanie publicznych i prywatnych certyfikatów Secure Sockets Layer/ Transport Layer Security (SSL/TLS) do użycia z platformą Azure i zasobami połączonymi wewnętrznie.

Usługa Azure Key Vault ma dwie warstwy usług: Standardowa, która szyfruje przy użyciu klucza oprogramowania i warstwę Premium obejmującą sprzętowe klucze chronione przez moduł zabezpieczeń (HSM).

Dlaczego warto używać usługi Key Vault?

Scentralizowanie wpisów tajnych aplikacji. Scentralizowanie przechowywania wpisów tajnych aplikacji w usłudze Azure Key Vault umożliwia kontrolowanie ich dystrybucji i znacznie zmniejsza prawdopodobieństwo przypadkowego wycieku wpisów tajnych. Gdy deweloperzy aplikacji używają usługi Key Vault, nie muszą już przechowywać informacji zabezpieczających w ramach kodu w swojej aplikacji. Zamiast tego aplikacja może bezpiecznie uzyskać dostęp do potrzebnych informacji przy użyciu identyfikatora obiektu usługi Key Vault, który jednoznacznie identyfikuje obiekt w usłudze Key Vault. Identyfikatory obiektów usługi Key Vault to adresy URL, które umożliwiają aplikacji pobieranie określonych wersji wpisu tajnego. Nie ma potrzeby pisania kodu niestandardowego w celu ochrony żadnych informacji tajnych przechowywanych w usłudze Key Vault.

Przykłady formatu adresu URL dla identyfikatora obiektu usługi Azure Key Vault w warstwie Standardowa i zarządzanego modułu HSM w warstwie Premium są następujące:

  • W przypadku magazynów warstwy Standardowa: https://{nazwa-magazynu}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • W przypadku zarządzanego modułu HSM: https://{hsm-name}.managedhsm.azure.net/{object-type}/{nazwa-obiektu}/{object-version}

Bezpieczne przechowywanie wpisów tajnych i kluczy. Udzielenie dostępu do magazynu kluczy wywołującemu użytkownikowi lub aplikacji wymaga odpowiedniego uwierzytelnienia i autoryzacji. Uwierzytelnianie ustanawia tożsamość obiektu wywołującego, a autoryzacja określa operacje, które mogą wykonywać.

Uwierzytelnianie odbywa się za pośrednictwem firmy Microsoft Entra. Autoryzacja może odbywać się za pomocą kontroli dostępu opartej na rolach (RBAC) platformy Azure lub zasad dostępu usługi Key Vault.

Usługa Azure Key Vault została zaprojektowana tak, aby firma Microsoft nie widziała ani nie wyodrębniała danych.

Monitorowanie dostępu i użycia. Po utworzeniu kilku magazynów kluczy możesz monitorować aktywność, włączając rejestrowanie dla magazynów. Kontrolujesz dzienniki i możesz je zabezpieczyć przez ograniczenie dostępu, a także możesz usunąć dzienniki, które nie są już potrzebne.

Uproszczone administrowanie wpisami tajnymi aplikacji. Usługa Azure Key Vault upraszcza administrację, która zwykle wymaga zabezpieczenia wpisów tajnych aplikacji, w tym:

  • Replikowanie zawartości usługi Key Vault w regionie do regionu pomocniczego. Replikacja danych zapewnia wysoką dostępność i eliminuje konieczność wykonywania jakichkolwiek czynności przez administratora w celu wyzwolenia trybu failover.
  • Udostępnianie standardowych opcji administrowania platformą Azure za pośrednictwem portalu, interfejsu wiersza polecenia platformy Azure i programu PowerShell.
  • Automatyzowanie niektórych zadań dotyczących certyfikatów zakupionych w urzędach certyfikacji publicznych, takich jak rejestracja i odnawianie.

Diagram showing a representation of Azure Key Vault, an Azure developer receiving a key vault object identifier as a URI, and a security admin that obtains usage logging for keys.

Usługa Azure Key Vault umożliwia także rozdzielenie wpisów tajnych aplikacji. Aplikacje mogą uzyskiwać dostęp tylko do magazynu, do którego mogą uzyskiwać dostęp, i mogą być ograniczone tylko do wykonywania określonych operacji. Istnieje możliwość utworzenia usługi Azure Key Vault dla aplikacji i ograniczenia użycia wpisów tajnych przechowywanych w usłudze Key Vault do konkretnej aplikacji i konkretnego zespołu deweloperów.