關於 Azure Key Vault
Azure 金鑰保存庫 是 Azure 中數個主要管理解決方案之一,可協助解決下列問題:
- 祕密管理 - Azure Key Vault 可以安全地儲存和嚴格控制對權杖、密碼、憑證、API 金鑰及其他祕密的存取
- 金鑰管理 - Azure Key Vault 可以作為金鑰管理解決方案。 Azure Key Vault 可讓您輕鬆建立和控制用來加密資料的加密金鑰。
- 憑證管理 - Azure Key Vault 可讓您輕鬆佈建、管理及部署公用和私人傳輸層安全性/安全通訊端層 (TLS/SSL) 憑證,以用於 Azure 和內部連線的資源。
Azure Key Vault 有兩個服務層級:標準層,使用軟體金鑰進行加密;以及進階層,其中包含受硬體安全模組 (HSM) 保護的金鑰。 若要查看標準層與進階層之間的比較,請參閱 Azure Key Vault 定價頁面。
注意
零信任 是一種安全性策略,包含三個原則:「明確驗證」、「使用最低許可權存取」和「假設缺口」。 數據保護,包括金鑰管理,支援「使用最低許可權存取」原則。 如需詳細資訊,請參閱什麼是 零信任?
為何使用 Azure Key Vault?
集中管理應用程式祕密
在 Azure Key Vault 中集中儲存應用程式祕密,可讓您控制其散發。 Key Vault 可大幅降低不小心洩露祕密的風險。 當應用程式開發人員使用 金鑰保存庫 時,他們不再需要將安全性資訊儲存在其應用程式中。 不需將安全性資訊儲存在應用程式中,就不需要讓此資訊成為程式碼的一部分。 例如,應用程式可能需要連線到資料庫。 您可以在 Key Vault 中妥善儲存連接字串,而不用在應用程式的程式碼中儲存連接字串。
您的應用程式可以使用 URI 安全地存取其所需的資訊。 這些 URI 可讓應用程式擷取特定版本的祕密。 您不需要撰寫自訂程式碼來保護 Key Vault 中儲存的任何祕密資訊。
安全地儲存祕密和金鑰
Key Vault 的存取權需要先經過適當的驗證和授權,呼叫者 (使用者或應用程式) 才能取得存取權。 驗證會建立呼叫者的身分識別,授權則會判斷呼叫者可以執行的作業。
驗證會透過 Microsoft Entra ID 來完成。 授權可透過 Azure 角色型存取控制 (Azure RBAC) 或 Key Vault 存取原則來完成。 Azure RBAC 可用於管理保存庫和存取儲存在保存庫中的數據,而密鑰保存庫存取原則只能在嘗試存取儲存在保存庫中的數據時使用。
Azure Key Vault 可能受軟體保護或搭配 Azure Key Vault 進階層,讓硬體受到硬體安全模組 (HSM) 保護。 使用業界標準演算法和金鑰長度,Azure 會保護受軟體保護的密鑰、秘密和憑證。 針對需要新增保證的情況,您可以在永遠不會離開 HSM 界限的 HSM 中匯入或產生密鑰。 Azure 金鑰保存庫 使用聯邦資訊處理標準 140 驗證的 HSM。 您可以使用 HSM 廠商提供的工具,將密鑰從 HSM 移至 Azure 金鑰保存庫。
最後,Azure Key Vault 依設計會使 Microsoft 無法看見或擷取您的資料。
監視存取和使用
建立數個 金鑰保存庫 之後,您會想要監視密鑰和秘密的存取方式和時間。 您可以啟用保存庫的記錄來監視活動。 您可以將 Azure Key Vault 設定為:
- 封存至儲存體帳戶。
- 串流處理至事件中樞。
- 將記錄傳送至 Azure 監視器記錄。
您可以控制您的記錄,藉由限制存取權來保護它們,也可以刪除您不再需要的記錄。
已簡化應用程式祕密的管理
儲存有價值的資料時,您必須採取數個步驟。 安全性信息必須受到保護,它必須遵循生命週期,而且必須具有高可用性。 Azure Key Vault 可藉由下列功能,簡化符合這些需求的程序:
- 無需具備硬體安全性模組的內部知識。
- 在短時間內擴大,以符合組織的使用尖峰。
- 將區域內的 Key Vault 內容複寫到次要區域。 資料複寫可確保高可用性,並可讓管理員無須執行任何動作來觸發容錯移轉。
- 透過入口網站、Azure CLI 和 PowerShell 提供標準 Azure 系統管理選項。
- 自動對向公開 CA 購買的憑證執行一些作業,例如註冊或續約。
此外,Azure Key Vault 可讓您隔離應用程式祕密。 應用程式只能存取其有權存取的保存庫,且可能限定為只能執行特定作業。 您可以為每個應用程式建立 Azure Key Vault,並將 Key Vault 中儲存的祕密限制於特定應用程式和開發人員小組。
與其他 Azure 服務整合
作為 Azure 中的安全存放區,金鑰保存庫 已用來簡化下列案例:
- Azure 磁碟加密
- SQL Server 和 Azure SQL 資料庫 中一律加密和 透明資料加密 功能
- Azure App 服務。
金鑰保存庫 本身可以與記憶體帳戶、事件中樞和記錄分析整合。