Azure Key Vault hakkında

Azure Key Vault, Azure'daki çeşitli temel yönetim çözümlerinden biridir ve aşağıdaki sorunların çözülmesine yardımcı olur:

  • Gizli Dizi Yönetimi: Belirteçleri, parolaları, sertifikaları, API anahtarlarını ve diğer gizli dizileri Güvenle depolamak ve bunlara erişimi sıkı bir şekilde denetlemek için Azure Key Vault kullanılabilir.
  • Anahtar Yönetimi - Azure Key Vault bir Anahtar Yönetimi çözümü olarak kullanılabilir. Azure Key Vault, verilerinizi şifrelemek için kullanılan şifreleme anahtarlarını oluşturmayı ve denetlemeyi kolaylaştırır.
  • Sertifika Yönetimi - Azure Key Vault, Azure ve dahili bağlı kaynaklarınız ile kullanmak üzere genel ve özel Aktarım Katmanı Güvenliği/Güvenli Yuva Katmanı (TLS/SSL) sertifikalarını kolayca sağlamanızı, yönetmenizi ve dağıtmanızı sağlar.

Azure Key Vault'un iki hizmet katmanı vardır: Yazılım anahtarıyla şifrelenen Standart ve donanım güvenlik modülü (HSM) korumalı anahtarları içeren bir Premium katmanı. Standart ve Premium katmanları arasındaki karşılaştırmayı görmek için Bkz . Azure Key Vault fiyatlandırma sayfası.

Not

Sıfır Güven üç ilkeden oluşan bir güvenlik stratejisidir: "Açıkça doğrula", "En az ayrıcalık erişimi kullan" ve "İhlal varsay". Anahtar yönetimi de dahil olmak üzere veri koruma, "en az ayrıcalık erişimi kullan" ilkesini destekler. Daha fazla bilgi için bkz. Sıfır Güven nedir?

Neden Azure Key Vault kullanmalıyım?

Uygulama gizli dizilerini merkezi hale getirme

Azure Key Vault’ta uygulama gizli dizilerinin depolanmasını merkezi hale getirerek dağılımlarını denetleyebilirsiniz. Key Vault, gizli dizilerin yanlışlıkla sızdırılma olasılığını büyük oranda azaltır. Uygulama geliştiricileri Key Vault'u kullandığında, artık güvenlik bilgilerini kendi uygulamalarına depolamaları gerekmez. Uygulamalarda güvenlik bilgilerini depolamak zorunda kalmak, bu bilgileri kodun bir parçası yapma gereksinimini ortadan kaldırır. Örneğin, bir uygulamanın bir veritabanına bağlanması gerekebilir. bağlantı dizesi uygulamanın kodunda depolamak yerine Key Vault'ta güvenli bir şekilde depolayabilirsiniz.

Uygulamalarınız URI'leri kullanarak ihtiyaç duydukları bilgilere güvenli bir şekilde erişebilir. Bu URI'ler uygulamaların gizli dizilerin belirli sürümlerini almasını sağlar. Key Vault'ta depolanan gizli dizi bilgilerinden herhangi birini korumak için özel kod yazmanız gerekmez.

Gizli dizileri ve anahtarları güvenle depolama

Bir anahtar kasasına erişim, bir çağıranın (kullanıcı ya da uygulama) erişim elde edebilmesi için uygun kimlik doğrulaması ve yetkilendirme gerektirir. Kimlik doğrulaması çağıranın kimliğini oluştururken yetkilendirme, gerçekleştirmesine izin verilen işlemleri belirler.

Kimlik doğrulaması Microsoft Entra Id aracılığıyla yapılır. Yetkilendirme, Azure rol tabanlı erişim denetimi (Azure RBAC) veya Key Vault erişim ilkesi aracılığıyla yapılabilir. Azure RBAC hem kasaların yönetimi hem de kasada depolanan verilere erişmek için kullanılabilirken, anahtar kasası erişim ilkesi yalnızca kasada depolanan verilere erişmeye çalışırken kullanılabilir.

Azure Key Vault'lar yazılım korumalı veya Azure Key Vault Premium katmanıyla donanım güvenlik modülleri (HSM) tarafından donanım korumalı olabilir. Yazılım korumalı anahtarlar, gizli diziler ve sertifikalar, endüstri standardı algoritmalar ve anahtar uzunlukları kullanılarak Azure tarafından korunur. Ek güvence gerektiren durumlarda, HSM sınırından hiçbir zaman ayrılmamış HSM'lerde anahtarları içeri aktarabilir veya oluşturabilirsiniz. Azure Key Vault, Federal Bilgi İşleme Standardı 140 doğrulanmış HSM'leri kullanır. HSM satıcı tarafından sağlanan araçları kullanarak bir anahtarı HSM'nizden Azure Key Vault'a taşıyabilirsiniz.

Son olarak Azure Key Vault, Microsoft'un verilerinizi görmemesi veya ayıklamaması için tasarlanmıştır.

Erişimi ve kullanımı izleme

Birkaç Anahtar Kasası oluşturduktan sonra anahtarlarınıza ve gizli dizilerinize nasıl ve ne zaman erişildiğini izlemek istersiniz. Kasalarınız için günlüğe kaydetmeyi etkinleştirerek etkinliği izleyebilirsiniz. Azure Key Vault’u aşağıdaki işlemleri yapacak şekilde yapılandırabilirsiniz:

  • Bir depolama hesabına arşivleme.
  • Olay hub’ına akış yapma.
  • Günlükleri Azure İzleyici günlüklerine gönderin.

Günlükleriniz üzerinde denetime sahip olursunuz ve erişimi kısıtlayarak günlükleri güvenli hale getirebilir ve artık gerekli olmayan günlükleri de silebilirsiniz.

Uygulama gizli dizilerinin basitleştirilmiş yönetimi

Değerli verileri depolarken birkaç adım uygulamanız gerekir. Güvenlik bilgilerinin güvenliği sağlanmalıdır, bir yaşam döngüsünü izlemelidir ve yüksek oranda kullanılabilir olmalıdır. Azure Key Vault şu gereksinimleri karşılama sürecini basitleştirir:

  • Donanım Güvenlik Modülleri hakkında şirket içi bilgi gereksinimini ortadan kaldırma.
  • Kuruluşunuzun kullanım artışlarını karşılamak için kısa sürede ölçeği artırma.
  • Bir bölge içindeki Anahtar Kasanızın içeriklerini ikincil bir bölgeye çoğaltma. Veri çoğaltma yüksek kullanılabilirlik sağlar ve yöneticinin yük devretmeyi tetikleyebilmesi için herhangi bir eylem gereksinimini ortadan kaldırır.
  • Portal, Azure CLI ve PowerShell aracılığıyla standart Azure yönetim seçeneklerini sağlama.
  • Genel CA’lardan satın aldığınız sertifikalarla ilgili kaydetme ve yenileme gibi belirli görevleri otomatikleştirme.

Ayrıca, Azure Anahtar Kasalarını kullanarak uygulama gizli dizilerini ayırabilirsiniz. Uygulamalar yalnızca erişim izni olan kasaya erişebilir ve yalnızca belirli işlemleri gerçekleştirmekle sınırlanabilir. Uygulama başına bir Azure Key Vault oluşturabilir ve bir Key Vault’ta depolanmış gizli dizileri belirli bir uygulama ve geliştirici takımı ile kısıtlayabilirsiniz.

Diğer Azure hizmetleri ile tümleştirme

Azure'da güvenli bir depo olarak Key Vault, şu senaryoları basitleştirmek için kullanılmıştır:

Key Vault, depolama hesapları, olay hub’ları ve günlük analizi ile tümleştirilebilir.

Sonraki adımlar