Víceklientská architektura a Azure Key Vault
Azure Key Vault slouží ke správě zabezpečených dat pro vaše řešení, včetně tajných kódů, šifrovacích klíčů a certifikátů. V tomto článku popisujeme některé funkce služby Azure Key Vault, které jsou užitečné pro víceklientských řešení. Potom poskytujeme odkazy na pokyny, které vám můžou pomoct při plánování používání služby Key Vault.
Modely izolace
Při práci s víceklientovým systémem pomocí služby Key Vault musíte rozhodnout o úrovni izolace, kterou chcete použít. Volba modelů izolace, které používáte, závisí na následujících faktorech:
- Kolik tenantů plánujete mít?
- Sdílíte aplikační vrstvu mezi více tenanty, nasazujete instance aplikací s jedním tenantem nebo nasazujete samostatné razítka nasazení pro každého tenanta?
- Potřebují vaši tenanti spravovat vlastní šifrovací klíče?
- Mají vaši tenanti požadavky na dodržování předpisů, které vyžadují, aby se tajné kódy ukládaly odděleně od tajných kódů jiných tenantů?
Následující tabulka shrnuje rozdíly mezi hlavními modely tenantů pro Key Vault:
| Situace | Trezor na tenanta v předplatném poskytovatele | Trezor na tenanta v předplatném tenanta | Sdílený trezor |
|---|---|---|---|
| Izolace dat | Vysoká | Velmi vysoká | Nízká |
| Izolace výkonu | Střední. Vysoká propustnost může být omezená, i když existuje mnoho trezorů. | Vysoká | Nízká |
| Složitost nasazení | Nízká střední v závislosti na počtu tenantů | Vysoká. Tenant musí správně udělit přístup poskytovateli. | Nízká |
| Provozní složitost | Vysoká | Nízké pro poskytovatele, vyšší pro tenanta | Nejnižší |
| Ukázkový scénář | Jednotlivé instance aplikací na tenanta | Šifrovací klíče spravované zákazníkem | Velké víceklientové řešení se sdílenou aplikační vrstvou |
Trezor na tenanta v předplatném poskytovatele
Můžete zvážit nasazení trezoru pro každého tenanta v rámci vašeho předplatného Azure (poskytovatele služeb). Tento přístup poskytuje silnou izolaci dat mezi daty každého tenanta. Vyžaduje ale, abyste nasadíte a spravujete rostoucí počet trezorů, protože zvýšíte počet tenantů.
Počet trezorů, které můžete nasadit do předplatného Azure, není nijak omezený. Měli byste ale zvážit následující omezení:
- Počet požadavků, které můžete v rámci časového období provádět, platí pro celé předplatné. Tato omezení platí bez ohledu na počet trezorů v předplatném. Proto je důležité postupovat podle našich pokynů k omezování, i když máte trezory specifické pro tenanty.
- Počet přiřazení rolí Azure, které můžete vytvořit v rámci předplatného, je omezený. Když nasazujete a konfigurujete velký počet trezorů v předplatném, můžete k těmto limitům přistupovat.
Trezor na tenanta v předplatném tenanta
V některých situacích můžou vaši tenanti vytvářet trezory ve svých vlastních předplatných Azure a můžou chtít aplikaci udělit přístup pro práci s tajnými klíči, certifikáty nebo klíči. Tento přístup je vhodný, pokud v rámci řešení povolíte šifrování klíčů spravovaných zákazníkem (CMK ).
Aby měl tenant přístup k datům v trezoru vašeho tenanta, musí vaší aplikaci poskytnout přístup ke svému trezoru. Tento proces vyžaduje, aby se vaše aplikace ověřila prostřednictvím své instance Microsoft Entra. Jedním z přístupů je publikování víceklientové aplikace Microsoft Entra. Vaši tenanti musí provést jednorázový proces souhlasu. Nejprve zaregistrují aplikaci Microsoft Entra s více tenanty ve svém vlastním tenantovi Microsoft Entra. Potom udělí vaší aplikaci Microsoft Entra víceklientům odpovídající úroveň přístupu ke svému trezoru. Musí vám také poskytnout úplné ID prostředku trezoru, který vytvořil. Kód aplikace pak může použít instanční objekt přidružený k víceklientské aplikaci Microsoft Entra ve vašem vlastním ID Microsoft Entra pro přístup k trezoru každého tenanta.
Případně můžete požádat každého tenanta, aby vytvořil instanční objekt, který má vaše služba používat, a poskytnout vám jeho přihlašovací údaje. Tento přístup ale vyžaduje bezpečné ukládání a správu přihlašovacích údajů pro každého tenanta, což je bezpečnostní odpovědnost.
Pokud tenanti konfigurují řízení přístupu k síti ve svých trezorech, ujistěte se, že máte přístup k trezorům. Navrhněte aplikaci tak, aby zvládla situace, kdy tenant změní řízení přístupu k síti a zabrání vám v přístupu k jejich trezorům.
Sdílené trezory
Můžete se rozhodnout sdílet tajné kódy tenantů v rámci jednoho trezoru. Trezor se nasadí ve vašem předplatném Azure (poskytovatele řešení) a zodpovídáte za jeho správu. Tento přístup je nejjednodušší, ale poskytuje nejmenší izolaci dat a izolaci výkonu.
Můžete se také rozhodnout nasadit více sdílených trezorů. Pokud například postupujete podle vzoru Razítka nasazení, je pravděpodobné, že do každého razítka nasadíte sdílený trezor. Podobně pokud nasadíte řešení s více oblastmi, měli byste trezory nasadit do každé oblasti z následujících důvodů:
- Abyste se vyhnuli latenci provozu mezi oblastmi při práci s daty v trezoru.
- Pro podporu požadavků na rezidenci dat.
- Povolení použití regionálních trezorů v rámci jiných služeb, které vyžadují nasazení stejné oblasti.
Při práci se sdíleným trezorem je důležité zvážit počet operací, které s trezorem provádíte. Operace zahrnují čtení tajných kódů a provádění operací šifrování nebo dešifrování. Key Vault omezuje počet požadavků , které je možné provést pro jeden trezor, a napříč všemi trezory v rámci předplatného Azure. Ujistěte se, že postupujete podle pokynů k omezování. Je důležité dodržovat doporučené postupy, včetně bezpečného ukládání tajných kódů do mezipaměti, které načítáte a používáte k šifrování obálky, abyste se vyhnuli odesílání všech operací šifrování do služby Key Vault. Když budete postupovat podle těchto osvědčených postupů, můžete spouštět vysoce škálovaná řešení pro jeden trezor.
Pokud potřebujete uložit tajné kódy, klíče nebo certifikáty specifické pro tenanta, zvažte použití konvence vytváření názvů, jako je předpona pojmenování. Můžete například předcházet ID tenanta na název každého tajného kódu. Kód aplikace pak může snadno načíst hodnotu konkrétního tajného kódu pro konkrétního tenanta.
Funkce služby Azure Key Vault, které podporují víceklientské prostředí
Značky
Key Vault podporuje označování tajných kódů, certifikátů a klíčů s vlastními metadaty, takže můžete pomocí značky sledovat ID tenanta pro každý tajný klíč specifický pro tenanta. Key Vault ale nepodporuje dotazování podle značek, takže tato funkce je nejvhodnější pro účely správy, a ne pro použití v logice vaší aplikace.
Další informace:
Podpora služby Azure Policy
Pokud se rozhodnete nasadit velký počet trezorů, je důležité zajistit, aby dodržovaly konzistentní standard konfigurace přístupu k síti, protokolování a řízení přístupu. Zvažte použití služby Azure Policy k ověření konfigurace trezorů podle vašich požadavků.
Další informace:
- Integrace služby Azure Key Vault se službou Azure Policy
- Předdefinované definice služby Azure Policy pro Key Vault
Spravované HSM a vyhrazené HSM
Pokud potřebujete provést velký počet operací za sekundu a limity operací služby Key Vault nejsou dostatečné, zvažte použití spravovaného HSM nebo vyhrazeného HSM. Oba produkty poskytují rezervovanou kapacitu, ale obvykle jsou dražší než Key Vault. Kromě toho mějte na paměti omezení počtu instancí těchto služeb, které můžete nasadit do každé oblasti.
Další informace:
- Návody rozhodnout, jestli použít Azure Key Vault nebo Azure Dedicated HSM?
- Je pro vás Azure Dedicated HSM vhodné?
Přispěvatelé
Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autor:
- John Downs | Hlavní softwarový inženýr
Další přispěvatelé:
- Jack Lichwa | Hlavní produktový manažer, Azure Key Vault
- Vladimirskij Vladimirskij | Hlavní zákaznický inženýr, FastTrack pro Azure
Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.
Další kroky
Projděte si přístupy k nasazení a konfiguraci pro víceklientské prostředí.