Om Azure Key Vault

Azure Key Vault kan hjälpa dig att lösa följande problem:

  • Hantering av hemligheter – Azure Key Vault kan användas för säker lagring av och kontrollerad åtkomst till token, lösenord, certifikat, API-nycklar och andra hemligheter
  • Nyckelhantering – Azure Key Vault kan användas som en nyckelhanteringslösning. Med Azure Key Vault är det enkelt att skapa och kontrollera de krypteringsnycklar som används för att kryptera dina data.
  • Certifikathantering – med Azure Key Vault kan du enkelt etablera, hantera och distribuera offentliga och privata Transport Layer Security/Secure Sockets Layer-certifikat (TLS/SSL) för användning med Azure och dina interna anslutna resurser.

Azure Key Vault har två tjänstnivåer: Standard, som krypterar med en programvarunyckel och en Premium-nivå, som innehåller HSM-skyddade nycklar (Hardware Security Module). En jämförelse mellan nivåerna Standard och Premium finns på Azure Key Vault sidan med priser.

Därför ska du använda Azure Key Vault

Central lagring av programhemligheter

När dina programhemligheter lagras lokalt i Azure Key Vault kan du styra spridningen av dem. Key Vault minskar kraftigt risken för att hemligheter sprids av misstag. När du använder Key Vault behöver programutvecklare inte längre lagra säkerhetsinformation i sina program. När du inte behöver lagra säkerhetsinformation i program eliminerar du behovet av att göra den här informationen till en del av koden. Ett program kan till exempel behöva ansluta till en databas. Istället för att lagra anslutningssträngen i appkoden så kan du lagra den säkert i Key Vault.

Dina program får säker åtkomst till den information de behöver med hjälp av URI:er. Dessa URI:er gör det möjligt för programmen att hämta specifika versioner av en hemlighet. Du behöver inte skriva någon egen kod för att skydda den hemliga information som lagras i Key Vault.

Lagra hemligheter och nycklar säkert

För åtkomst till ett nyckelvalv krävs en korrekt autentisering och auktorisering (av en användare eller ett program). Autentiseringen etablerar anroparens identitet medan auktoriseringen avgör vilka åtgärder som anroparen får utföra.

Autentiseringen görs via Azure Active Directory. Auktorisering kan göras via rollbaserad åtkomstkontroll i Azure (Azure RBAC) eller Key Vault åtkomstprincip. Azure RBAC kan användas för både hantering av valv och åtkomst till data som lagras i ett valv, medan åtkomstprinciper för nyckelvalv endast kan användas när du försöker komma åt data som lagras i ett valv.

Azure Key Vault kan antingen vara programvaruskyddat eller, med Azure Key Vault Premium, maskinvara som skyddas av maskinvarusäkerhetsmoduler (HSM). Programvaruskyddade nycklar, hemligheter och certifikat skyddas av Azure med branschstandardalgoritmer och nyckellängder. I situationer där du behöver ytterligare säkerhet kan du importera eller generera nycklar i HSM:er som aldrig lämnar HSM-gränsen. Azure Key Vault använder nCipher HSM:er, som är FIPS(Federal Information Processing Standards) 140-2 Level 2-verifierade. Du kan använda nCipher-verktyg för att flytta en nyckel från din HSM till Azure Key Vault.

Azure Key Vault är dessutom utformat så att Microsoft inte kan se eller extrahera dina data.

Övervaka åtkomst och användning

När du väl har skapat några nyckelvalv vill du förmodligen övervaka hur och när dina nycklar och hemligheter används. Du kan övervaka aktiviteten genom att aktivera loggning för dina valv. Du kan konfigurera Azure Key Vault att göra följande:

  • arkivera till ett lagringskonto
  • strömma till en händelsehubb
  • Skicka loggarna till Azure Monitor loggar.

Du har kontroll över dina loggar, du kan skydda dem genom att begränsa åtkomsten och du kan ta bort loggar du inte längre behöver.

Enklare administration av programhemligheter

Det ingår ett flertal steg när du lagrar värdefulla data. Säkerhetsinformation måste skyddas, den måste följa en livscykel och ha hög tillgänglig. Azure Key Vault gör det enklare att uppfylla dessa krav genom att:

  • Ta bort behovet av kunskaper om maskinvarusäkerhetsmoduler internt.
  • Skala upp med kort varsel för att uppfylla organisationens användningstoppar.
  • Innehållet i dina nyckelvarv kan replikeras inom en region och till en sekundär region. Datareplikering säkerställer tillgängligheten och gör att administratören inte behöver utlösa redundansväxlingen manuellt.
  • Du har tillgång till vanliga administrationsalternativ för Azure via portalen, Azure CLI:t och PowerShell.
  • Vissa uppgifter kring certifikat som du köper från offentliga certifikatutfärdare automatiseras, som registrering och förnyelse.

Dessutom kan du särskilja programhemligheter i Azure Key Vaults. Program kan då endast komma åt valv som de har behörighet till, och de kan begränsas till att endast utföra specifika åtgärder. Du kan skapa ett nyckelvalv per program och begränsa hemligheterna som lagras i ett nyckelvalv till ett visst program och utvecklarteam.

Integrera med andra Azure-tjänster

Som säker lagring i Azure har Key Vault använts för att förenkla scenarier som:

Själva Key Vault kan integreras med lagringskonton, händelsehubbar och Log Analytics.

Nästa steg