Zabezpieczanie kluczy i wpisów tajnych za pomocą usługi Azure Key Vault
Organizacja przenosi systemy na platformę Azure. Musisz zrozumieć, w jaki sposób platforma Azure może pomóc chronić poświadczenia dla tych systemów.
W tym miejscu dowiesz się, jak używać usługi Azure Key Vault do spełnienia wytycznych dotyczących zabezpieczeń dotyczących przechowywania informacji, takich jak poświadczenia i wpisy tajne.
Rozdzielanie kodu i poświadczeń za pomocą usługi Azure Key Vault
Usługa Azure Key Vault ułatwia bezpieczne przechowywanie wpisów tajnych i kluczy. Wszelkie poufne informacje, które muszą być chronione, są dobrym kandydatem do usługi Azure Key Vault. Informacjami poufnymi mogą być zarówno hasła i klucze, jak i parametry połączenia, na przykład parametry połączenia bazy danych.
Certyfikaty również muszą być bezpieczne. Przykładem są certyfikaty x509 dla połączeń HTTPS/SSL, które składają się z klucza prywatnego i klucza publicznego.
Gdy używasz usługi Azure Key Vault, Twoje wpisy tajne nie są widoczne dla wszystkich użytkowników. Nawet firma Microsoft nie może ich przeglądać. Usługa Azure Key Vault korzysta z zaawansowanych algorytmów i sprzętowych modułów zabezpieczeń, aby zapewnić bezpieczeństwo kluczy i wpisów tajnych. Sprzętowe moduły zabezpieczeń służą do zapobiegania nieuprawnionym manipulacjom i innym formom nieautoryzowanego użycia.
Organizacja może odkryć, że część jej kodu dla aplikacji wyciekła lub znajduje się w niewłaściwym miejscu z powodu błędu kontroli wersji. Kod źródłowy może ujawniać poświadczenia organizacji. Jeśli organizacja użyła usługi Azure Key Vault do przechowywania swoich wpisów tajnych, kod aplikacji będzie wolny od poświadczeń. W usłudze Key Vault kod aplikacji i poświadczenia są całkowicie oddzielone. Jeśli ktoś uzyskuje dostęp do kodu aplikacji, poświadczenia są bezpieczne i niewidoczne w aplikacji.
Organizacja wyeliminowała, co mogło być poważnym problemem, oddzielając te obawy. W razie konieczności zmiany poświadczeń nie ma potrzeby aktualizowania aplikacji. Organizacja może zaktualizować poświadczenia w magazynie kluczy, a wszystkie aplikacje automatycznie będą na nie wskazywać.
Usługa Azure Key Vault umożliwia również monitorowanie sposobu i czasu użycia wpisów tajnych oraz kluczy. Możliwe jest monitorowanie aktywności w magazynie i włączenie rejestrowania. Wszystkie te dane rejestrowania mogą być archiwizowane w usłudze Azure Storage, przesyłane strumieniowo na potrzeby raportowania w czasie rzeczywistym lub przekazywane do dzienników usługi Azure Monitor. W ten sposób możesz uzyskać rzeczywiste szczegółowe informacje o wykorzystaniu Twoich wpisów tajnych i kluczy.
Usługa Azure Key Vault jest obsługiwana w wielu usługach platformy Azure, w tym usługach baz danych, usługach magazynu i usługach App Services.
Zabezpieczanie wpisu tajnego za pomocą usługi Azure Key Vault
Możesz korzystać z usługi Azure Key Vault przy użyciu interfejsu wiersza polecenia platformy Azure, programu PowerShell, szablonów usługi Azure Resource Manager, Azure Portal i zestawów SDK w wielu językach.
Poniższy przykład w interfejsie wiersza polecenia platformy Azure pokazuje, jak utworzyć magazyn kluczy do przechowywania tajnego hasła:
# Create a key vault
az keyvault create --name "Your-Vault" --resource-group "YourResourceGroup" --location westus
Teraz możesz dodać wpis tajny do tego magazynu:
# Add a secret
az keyvault secret set --vault-name "Your-Vault" --name "YourStoredPassword" --value "KlhOM901BkLx"
Upewnij się, że wpis tajny został dodany:
# Verify your secret
az keyvault secret show --name "YourStoredPassword" --vault-name "Your-Vault"
Teraz masz magazyn kluczy z przechowywanym w nim wpisem tajnym.