Сведения об Azure Key Vault

  • Статья

Azure Key Vault является одним из нескольких решений для управления ключами в Azure и помогает решить следующие проблемы:

  • Управление секретами. Azure Key Vault обеспечивает безопасное хранение токенов, паролей, сертификатов, ключей API и других секретных сведений со строгим контролем доступа к ним.
  • Управление ключами. Azure Key Vault можно использовать как решение по управлению ключами. Эта служба позволяет легко создавать и контролировать ключи шифрования, используемые для шифрования данных.
  • Управление сертификатами. С помощью службы Azure Key Vault можно с легкостью подготавливать, администрировать и развертывать общедоступные и частные сертификаты TLS/SSL для использования в Azure и внутренних подключенных ресурсах.

Azure Key Vault предлагает два уровня служб: "Стандартный" (шифруется с использованием программного ключа) и "Премиум" (включает защищенные модулем HSM ключи). Сравнение этих уровней см. на странице цен Azure Key Vault.

Примечание.

Нулевое доверие — это стратегия безопасности, состоящая из трех принципов: "Проверка явным образом", "Использование минимального доступа к привилегиям" и "Предполагать нарушение". Защита данных, включая управление ключами, поддерживает принцип "использовать минимальный доступ к привилегиям". Дополнительные сведения см. в разделе "Что такое нулевое доверие"?

Использование Azure Key Vault

Централизация секретов приложений

Централизованное хранение секретов приложения в Azure Key Vault позволяет управлять их распространением. Key Vault значительно снижает вероятность случайной утечки секретов. Когда разработчики приложений используют Key Vault, они больше не должны хранить сведения о безопасности в своем приложении. Отсутствие необходимости хранить сведения о безопасности в приложениях устраняет потребность включать эти сведения в код. Например, приложению может потребоваться подключиться к базе данных. Вместо хранения строки подключения в коде приложений она безопасно хранится в Key Vault.

Ваши приложения могут безопасно получить необходимые сведения, используя URI. Эти URI позволяют приложениям получить определенные версии секрета. Нет необходимости писать специальный код для защиты любых секретных данных, хранящихся в Key Vault.

Безопасное хранение секретов и ключей

Прежде чем вызывающий объект (пользователь или приложение) сможет получить доступ к хранилищу ключей, требуется правильная проверка подлинности и авторизация. Проверка подлинности устанавливает удостоверение вызывающего объекта, а авторизация определяет операции, которые они могут выполнять.

Проверка подлинности выполняется с помощью идентификатора Microsoft Entra. Авторизацию можно выполнить с помощью управления доступом на основе ролей в Azure (Azure RBAC) или политики доступа Key Vault. Azure RBAC можно использовать как для управления хранилищами, так и для доступа к данным, хранящимся в хранилище, а политика доступа к хранилищу ключей может использоваться только при попытке доступа к данным, хранящимся в хранилище.

Защита хранилищ Azure Key Vault может быть реализована программно (с помощью ПО) или аппаратно (для уровня "Премиум", с помощью аппаратных модулей безопасности). Безопасность защищенных программно ключей, секретов и сертификатов обеспечивается Azure с использованием стандартных отраслевых алгоритмов и методов управления длиной ключей. В ситуациях, когда необходимо обеспечить более высокий уровень защиты, можно импортировать ключи или создать их в аппаратных модулях безопасности (ключи никогда не покидают их пределов). Azure Key Vault использует федеральный стандарт обработки информации 140 проверенных HSM. Поставщик HSM предоставляет средства для перемещения ключа из HSM в Azure Key Vault.

Наконец, служба Azure Key Vault разработана таким образом, чтобы корпорация Майкрософт не могла просматривать или извлекать ваши данные.

Мониторинг доступа и использования

После создания нескольких хранилищ ключей необходимо отслеживать способ доступа к ключам и секретам. Вы можете отслеживать действия, включив ведение журнала для своих хранилищ. Для Azure Key Vault можно настроить следующее:

  • Archive to a storage account (Архивировать в учетной записи хранения).
  • Stream to an event hub (Потоковая передача в концентратор событий).
  • Отправка журналов в журналы Azure Monitor

У вас есть контроль над журналами, их можно защитить, ограничив доступ. Кроме того, вы можете удалить ненужные журналы.

Упрощенное администрирование секретов приложений.

При хранении ценных данных необходимо выполнить несколько шагов. Информация о безопасности должна быть защищенной, должна соответствовать жизненному циклу и быть высокодоступной. Azure Key Vault упрощает процесс соответствия этим требованиям таким образом:

  • Отсутствие необходимости в специальных знаниях об аппаратных модулях безопасности.
  • Масштабирование в соответствии с пиками потребления вашей организации.
  • Репликацию содержимого Key Vault в рамках региона и в дополнительный регион. Репликация данных обеспечивает высокий уровень доступности и не требует вмешательства администратора для запуска отработки отказа.
  • Предоставление стандартных возможностей администрирования через портал, Azure CLI и PowerShell.
  • Автоматизацию определенных задач с сертификатами, приобретенными в общедоступных центрах сертификации, например регистрацию и продление срока действия.

Кроме того, Azure Key Vault позволяет разделять секреты приложений. Приложения могут получить доступ только к хранилищу, к которому они разрешены доступ, и они могут быть ограничены только для выполнения определенных операций. Вы можете создать Azure Key Vault для каждого приложения и ограничить секреты, хранящиеся в Key Vault, конкретным приложением и командой разработчиков.

Интеграция с другими службами Azure

Являясь защищенным хранилищем в Azure, Key Vault используется для упрощения таких сценариев:

Key Vault можно интегрировать с учетными записями хранения, концентраторами событий и Log Analytics.

Следующие шаги