Popis služby Azure Key Vault
Azure Key Vault je cloudová služba pro bezpečné ukládání tajných kódů a přístup k nim. Tajný kód je vše, co chcete pevně řídit přístup, jako jsou klíče rozhraní API, hesla, certifikáty nebo kryptografické klíče.
Azure Key Vault pomáhá vyřešit následující problémy:
- Správa tajných kódů: Key Vault můžete použít k bezpečnému a těsnému řízení přístupu k tokenům, heslům, certifikátům, klíčům rozhraní API (Application Programming Interface) a dalším tajným kódům.
- Správa klíčů: Key Vault můžete použít jako řešení pro správu klíčů. Key Vault usnadňuje vytváření a správu šifrovacích klíčů používaných k šifrování dat.
- Správa certifikátů: Key Vault umožňuje zřizovat, spravovat a nasazovat veřejné a privátní certifikáty SSL/TLS (Secure Sockets Layer/ Transport Layer Security) pro použití s Azure a interně připojenými prostředky.
Azure Key Vault má dvě úrovně služby: Standard, který šifruje softwarový klíč, a úroveň Premium, která zahrnuje klíče chráněné modulem hardwarového zabezpečení (HSM).
Proč používat Key Vault?
Centralizace tajných kódů aplikací Centralizované ukládání tajných kódů aplikací ve službě Azure Key Vault umožňuje řídit jejich distribuci a výrazně snižuje riziko náhodného úniku tajných kódů. Když vývojáři aplikací používají Key Vault, nemusí už v aplikaci ukládat informace o zabezpečení jako součást kódu. Místo toho může aplikace bezpečně přistupovat k informacím, které potřebuje, pomocí identifikátoru objektu služby Key Vault, který jednoznačně identifikuje objekt v rámci služby Key Vault. Identifikátory objektů služby Key Vault jsou adresy URL, které aplikaci umožňují načíst konkrétní verze tajného kódu. Není nutné psát vlastní kód pro ochranu jakýchkoli tajných informací uložených ve službě Key Vault.
Příklady formátu adresy URL pro identifikátor objektu služby Azure Key Vault úrovně Standard a spravovaného HSM úrovně Premium jsou následující:
Trezory úrovně Standard: https://{název_trezoru}.vault.azure.net/{typ_objektu}/{název_objektu}/{object-version}
Pro spravovaný HSM: https://{hsm-name}.managedhsm.azure.net/{object-type}/{název_objektu}/{object-version}
Bezpečně ukládejte tajné kódy a klíče. Pro přístup k trezoru klíčů se vyžaduje řádné ověření a autorizace volajícího (uživatel nebo aplikace). Ověřování vytvoří identitu volajícího, zatímco autorizace určuje operace, které smí provádět.
Ověřování se provádí přes Microsoft Entra. Autorizace se může provádět prostřednictvím řízení přístupu na základě role (Azure RBAC) nebo zásad přístupu ke službě Key Vault.
Služba Azure Key Vault je navržená tak, aby Microsoft vaše data neviděl nebo extrahovali.
Monitorování přístupu a použití: Po vytvoření několika trezorů klíčů můžete monitorovat aktivitu povolením protokolování pro vaše trezory. Máte kontrolu nad svými protokoly, které můžete zabezpečit prostřednictvím omezení přístupu, a můžete také odstranit protokoly, které už nepotřebujete.
Zjednodušená správa tajných kódů aplikací: Azure Key Vault zjednodušuje správu, která by se obvykle vyžadovala k zabezpečení tajných kódů aplikací, včetně následujících:
- Replikuje obsah služby Key Vault v jedné oblasti do sekundární oblasti. Replikace dat zajišťuje vysokou dostupnost a zbavuje potřebu jakékoli akce od správce k aktivaci převzetí služeb při selhání.
- Poskytuje standardní možnosti správy Azure prostřednictvím portálu, Azure CLI nebo PowerShellu.
- Automatizace určitých úloh u certifikátů, které zakoupíte od certifikačních autorit veřejných certifikátů, jako je registrace a prodloužení platnosti.
Kromě toho trezory klíčů Azure umožňují oddělení tajných klíčů aplikací. Aplikace můžou přistupovat jenom k trezoru, ke kterému mají povolený přístup, a můžou být omezené jenom na provádění konkrétních operací. Službu Azure Key Vault můžete vytvořit pro jednotlivé aplikace a omezit přístup k tajným klíčům uloženým ve službě Key Vault na konkrétní aplikaci a tým vývojářů.