Об Azure Key VaultAbout Azure Key Vault

Azure Key Vault помогает в решении следующих проблем:Azure Key Vault helps solve the following problems:

  • Управление секретами. Azure Key Vault обеспечивает безопасное хранение токенов, паролей, сертификатов, ключей API и других секретных сведений со строгим контролем доступа к ним.Secrets Management - Azure Key Vault can be used to Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets
  • Управление ключами. Azure Key Vault также может использоваться как решение по управлению ключами.Key Management - Azure Key Vault can also be used as a Key Management solution. Эта служба позволяет легко создавать и контролировать ключи шифрования, используемые для шифрования данных.Azure Key Vault makes it easy to create and control the encryption keys used to encrypt your data.
  • Управление сертификатами. С помощью службы Azure Key Vault можно с легкостью подготавливать, администрировать и развертывать общедоступные и частные сертификаты TLS/SSL для использования в Azure и внутренних подключенных ресурсах.Certificate Management - Azure Key Vault is also a service that lets you easily provision, manage, and deploy public and private Transport Layer Security/Secure Sockets Layer (TLS/SSL) certificates for use with Azure and your internal connected resources.
  • Хранение секретов, защищенных аппаратными модулями безопасности. Секреты и ключи могут быть защищены с помощью программного обеспечения или FIPS 140-2 уровня 2 с проверкой HSM.Store secrets backed by Hardware Security Modules - The secrets and keys can be protected either by software or FIPS 140-2 Level 2 validated HSMs

Использование Azure Key VaultWhy use Azure Key Vault?

Централизация секретов приложенийCentralize application secrets

Централизованное хранение секретов приложения в Azure Key Vault позволяет управлять их распространением.Centralizing storage of application secrets in Azure Key Vault allows you to control their distribution. Key Vault значительно снижает вероятность случайной утечки секретов.Key Vault greatly reduces the chances that secrets may be accidentally leaked. При использовании Key Vault разработчикам приложений больше не требуется хранить информацию о безопасности своих приложений.When using Key Vault, application developers no longer need to store security information in their application. Отсутствие необходимости хранить сведения о безопасности в приложениях устраняет потребность включать эти сведения в код.Not having to store security information in applications eliminates the need to make this information part of the code. Например, приложению может потребоваться подключиться к базе данных.For example, an application may need to connect to a database. Вместо хранения строки подключения в коде приложений она безопасно хранится в Key Vault.Instead of storing the connection string in the app's code, you can store it securely in Key Vault.

Ваши приложения могут безопасно получить необходимые сведения, используя URI.Your applications can securely access the information they need by using URIs. Эти URI позволяют приложениям получить определенные версии секрета.These URIs allow the applications to retrieve specific versions of a secret. Нет необходимости писать настраиваемый код для защиты какой-либо секретной информации в Key Vault.There is no need to write custom code to protect any of the secret information stored in Key Vault.

Безопасное хранение секретов и ключейSecurely store secrets and keys

Azure защищает секреты и ключи с использованием стандартных отраслевых алгоритмов, методов управления длиной ключей и аппаратных модулей безопасности (HSM).Secrets and keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs). Аппаратные модули безопасности (HSM) используют проверенный федеральный стандарт обработки информации (FIPS) 140-2 уровня 2.The HSMs used are Federal Information Processing Standards (FIPS) 140-2 Level 2 validated.

Прежде чем вызывающий объект (пользователь или приложение) сможет получить доступ к хранилищу ключей, требуется правильная проверка подлинности и авторизация.Access to a key vault requires proper authentication and authorization before a caller (user or application) can get access. При проверке подлинности выполняется идентификация вызывающего объекта, а при авторизации определяется, какие операции ему разрешено выполнять.Authentication establishes the identity of the caller, while authorization determines the operations that they are allowed to perform.

Проверка подлинности выполняется с помощью Azure Active Directory.Authentication is done via Azure Active Directory. Авторизацию можно выполнить с помощью управления доступом на основе ролей (RBAC) или политики доступа Key Vault.Authorization may be done via role-based access control (RBAC) or Key Vault access policy. RBAC используется при управлении хранилищами, а политика доступа к хранилищу ключей используется при попытке доступа к данным в хранилище.RBAC is used when dealing with the management of the vaults and key vault access policy is used when attempting to access data stored in a vault.

Azure Key Vault может быть защищено либо с помощью программного обеспечения, либо с помощью оборудования HSM.Azure Key Vaults may be either software- or hardware-HSM protected. В ситуациях, когда необходимо обеспечить более высокий уровень защиты, можно импортировать ключи или создать их в аппаратных модулях безопасности (ключи никогда не покидают их пределов).For situations where you require added assurance you can import or generate keys in hardware security modules (HSMs) that never leave the HSM boundary. Корпорация Майкрософт использует аппаратные модули безопасности nCipher.Microsoft uses nCipher hardware security modules. Средства nCipher можно использовать для перемещения ключа из модуля HSM в Azure Key Vault.You can use nCipher tools to move a key from your HSM to Azure Key Vault.

Наконец, хранилище Azure Key Vault разработано таким образом, чтобы сотрудники корпорации Майкрософт не могли видеть или извлекать ваши данные.Finally, Azure Key Vault is designed so that Microsoft does not see or extract your data.

Мониторинг доступа и использованияMonitor access and use

Создав пару Key Vault, следите за тем, как и когда к вашим ключам и секретам осуществляется доступ.Once you have created a couple of Key Vaults, you will want to monitor how and when your keys and secrets are being accessed. Вы можете отслеживать действия, включив ведение журнала для своих хранилищ.You can monitor activity by enabling logging for your vaults. Для Azure Key Vault можно настроить следующее:You can configure Azure Key Vault to:

  • архивацию в учетной записи хранения;Archive to a storage account.
  • передачу в концентратор событий;Stream to an event hub.
  • Отправка журналов в журналы Azure MonitorSend the logs to Azure Monitor logs.

У вас есть контроль над журналами, их можно защитить, ограничив доступ. Кроме того, вы можете удалить ненужные журналы.You have control over your logs and you may secure them by restricting access and you may also delete logs that you no longer need.

Упрощенное администрирование секретов приложенийSimplified administration of application secrets

При хранении ценных данных необходимо выполнить несколько шагов.When storing valuable data, you must take several steps. Информация о безопасности должна быть защищенной, должна соответствовать жизненному циклу и быть высокодоступной.Security information must be secured, it must follow a life cycle, and it must be highly available. Azure Key Vault упрощает процесс соответствия этим требованиям таким образом:Azure Key Vault simplifies the process of meeting these requirements by:

  • Отсутствие необходимости в специальных знаниях об аппаратных модулях безопасности.Removing the need for in-house knowledge of Hardware Security Modules.
  • Масштабирование в соответствии с пиками потребления вашей организации.Scaling up on short notice to meet your organization's usage spikes.
  • Репликацию содержимого Key Vault в рамках региона и в дополнительный регион.Replicating the contents of your Key Vault within a region and to a secondary region. Репликация данных обеспечивает высокий уровень доступности и не требует вмешательства администратора для запуска отработки отказа.Data replication ensures high availability and takes away the need of any action from the administrator to trigger the failover.
  • Предоставление стандартных возможностей администрирования через портал, Azure CLI и PowerShell.Providing standard Azure administration options via the portal, Azure CLI and PowerShell.
  • Автоматизацию определенных задач с сертификатами, приобретенными в общедоступных центрах сертификации, например регистрацию и продление срока действия.Automating certain tasks on certificates that you purchase from Public CAs, such as enrollment and renewal.

Кроме того, Azure Key Vault позволяет разделять секреты приложений.In addition, Azure Key Vaults allow you to segregate application secrets. Приложения имеют доступ только к тому хранилищу, к которому им разрешено получать доступ, и смогут выполнять только определенные операции.Applications may access only the vault that they are allowed to access, and they can be limited to only perform specific operations. Вы можете создать Azure Key Vault для каждого приложения и ограничить секреты, хранящиеся в Key Vault, конкретным приложением и командой разработчиков.You can create an Azure Key Vault per application and restrict the secrets stored in a Key Vault to a specific application and team of developers.

Интеграция с другими службами AzureIntegrate with other Azure services

Являясь защищенным хранилищем в Azure, Key Vault используется для упрощения таких сценариев:As a secure store in Azure, Key Vault has been used to simplify scenarios like:

Key Vault можно интегрировать с учетными записями хранения, концентраторами событий и Log Analytics.Key Vault itself can integrate with storage accounts, event hubs, and log analytics.

Дальнейшие действияNext steps