Об Azure Key Vault

Azure Key Vault помогает в решении следующих проблем:

  • Управление секретами. Azure Key Vault обеспечивает безопасное хранение токенов, паролей, сертификатов, ключей API и других секретных сведений со строгим контролем доступа к ним.
  • Управление ключами. Azure Key Vault также может использоваться как решение по управлению ключами. Эта служба позволяет легко создавать и контролировать ключи шифрования, используемые для шифрования данных.
  • Управление сертификатами. С помощью службы Azure Key Vault можно с легкостью подготавливать, администрировать и развертывать общедоступные и частные сертификаты TLS/SSL для использования в Azure и внутренних подключенных ресурсах.

Azure Key Vault предлагает два уровня служб: "Стандартный" (шифруется с использованием программного ключа) и "Премиум" (включает защищенные модулем HSM (аппаратный модуль безопасности) ключи). Сравнение этих уровней см. на странице цен Azure Key Vault.

Использование Azure Key Vault

Централизация секретов приложений

Централизованное хранение секретов приложения в Azure Key Vault позволяет управлять их распространением. Key Vault значительно снижает вероятность случайной утечки секретов. При использовании Key Vault разработчикам приложений больше не требуется хранить информацию о безопасности своих приложений. Отсутствие необходимости хранить сведения о безопасности в приложениях устраняет потребность включать эти сведения в код. Например, приложению может потребоваться подключиться к базе данных. Вместо хранения строки подключения в коде приложений она безопасно хранится в Key Vault.

Ваши приложения могут безопасно получить необходимые сведения, используя URI. Эти URI позволяют приложениям получить определенные версии секрета. Нет необходимости писать настраиваемый код для защиты какой-либо секретной информации в Key Vault.

Безопасное хранение секретов и ключей

Прежде чем вызывающий объект (пользователь или приложение) сможет получить доступ к хранилищу ключей, требуется правильная проверка подлинности и авторизация. При проверке подлинности выполняется идентификация вызывающего объекта, а при авторизации определяется, какие операции ему разрешено выполнять.

Проверка подлинности выполняется с помощью Azure Active Directory. Авторизацию можно выполнить с помощью управления доступом на основе ролей в Azure (Azure RBAC) или политики доступа Key Vault. Azure RBAC используется при управлении хранилищами, а политика доступа к хранилищу ключей используется при попытке доступа к данным в хранилище.

Защита хранилищ Azure Key Vault может быть реализована программно (с помощью ПО) или аппаратно (для уровня "Премиум", с помощью аппаратных модулей безопасности). Безопасность защищенных программно ключей, секретов и сертификатов обеспечивается Azure с использованием стандартных отраслевых алгоритмов и методов управления длиной ключей. В ситуациях, когда необходимо обеспечить более высокий уровень защиты, можно импортировать ключи или создать их в аппаратных модулях безопасности (ключи никогда не покидают их пределов). Azure Key Vault использует аппаратные модули безопасности (HSM), которые сертифицированы по стандарту FIPS 140-2 уровня 2. Средства nCipher можно использовать для перемещения ключа из модуля HSM в Azure Key Vault.

Наконец, хранилище Azure Key Vault разработано таким образом, чтобы сотрудники корпорации Майкрософт не могли видеть или извлекать ваши данные.

Мониторинг доступа и использования

Создав пару Key Vault, следите за тем, как и когда к вашим ключам и секретам осуществляется доступ. Вы можете отслеживать действия, включив ведение журнала для своих хранилищ. Для Azure Key Vault можно настроить следующее:

  • архивацию в учетной записи хранения;
  • передачу в концентратор событий;
  • Отправка журналов в журналы Azure Monitor

У вас есть контроль над журналами, их можно защитить, ограничив доступ. Кроме того, вы можете удалить ненужные журналы.

Упрощенное администрирование секретов приложений

При хранении ценных данных необходимо выполнить несколько шагов. Информация о безопасности должна быть защищенной, должна соответствовать жизненному циклу и быть высокодоступной. Azure Key Vault упрощает процесс соответствия этим требованиям таким образом:

  • Отсутствие необходимости в специальных знаниях об аппаратных модулях безопасности.
  • Масштабирование в соответствии с пиками потребления вашей организации.
  • Репликацию содержимого Key Vault в рамках региона и в дополнительный регион. Репликация данных обеспечивает высокий уровень доступности и не требует вмешательства администратора для запуска отработки отказа.
  • Предоставление стандартных возможностей администрирования через портал, Azure CLI и PowerShell.
  • Автоматизацию определенных задач с сертификатами, приобретенными в общедоступных центрах сертификации, например регистрацию и продление срока действия.

Кроме того, Azure Key Vault позволяет разделять секреты приложений. Приложения имеют доступ только к тому хранилищу, к которому им разрешено получать доступ, и смогут выполнять только определенные операции. Вы можете создать Azure Key Vault для каждого приложения и ограничить секреты, хранящиеся в Key Vault, конкретным приложением и командой разработчиков.

Интеграция с другими службами Azure

Являясь защищенным хранилищем в Azure, Key Vault используется для упрощения таких сценариев:

Key Vault можно интегрировать с учетными записями хранения, концентраторами событий и Log Analytics.

Дальнейшие действия