Prozkoumání služby Azure Key Vault

  • 3 min

Služba Azure Key Vault podporuje dva typy kontejnerů: trezory a spravované fondy hardwarového zabezpečení (HSM). Trezory podporují ukládání klíčů, tajných kódů a certifikátů založených na softwaru a HSM. Spravované fondy HSM podporují pouze klíče založené na HSM.

Azure Key Vault pomáhá vyřešit následující problémy:

  • Správa tajných kódů: Azure Key Vault je možné použít k bezpečnému ukládání a těsnému řízení přístupu k tokenům, heslům, certifikátům, klíčům rozhraní API a dalším tajným kódům.

  • Správa klíčů: Azure Key Vault se dá použít také jako řešení pro správu klíčů. Azure Key Vault usnadňuje vytváření a správu šifrovacích klíčů sloužících k šifrování dat.

  • Správa certifikátů: Azure Key Vault je také služba, která umožňuje snadno zřizovat, spravovat a nasazovat veřejné a privátní certifikáty SSL/TLS (Secure Sockets Layer/Transport Layer Security) pro použití s Azure a vašimi interními připojenými prostředky.

Azure Key Vault má dvě úrovně služby: Standard, který šifruje softwarový klíč, a úroveň Premium, která zahrnuje klíče chráněné modulem hardwarového zabezpečení (HSM). Porovnání úrovní Standard a Premium najdete na stránce s cenami služby Azure Key Vault.

Klíčové výhody používání služby Azure Key Vault

  • Centralizované tajné kódy aplikací: Centralizované ukládání tajných kódů aplikací ve službě Azure Key Vault umožňuje řídit jejich distribuci. Například místo uložení připojovací řetězec do kódu aplikace ji můžete bezpečně uložit ve službě Key Vault. Vaše aplikace můžou bezpečně přistupovat k potřebným informacím pomocí identifikátorů URI. Tyto identifikátory URI umožňují aplikacím načíst konkrétní verze tajného kódu.

  • Bezpečné ukládání tajných kódů a klíčů: Přístup k trezoru klíčů vyžaduje správné ověřování a autorizaci, aby volající (uživatel nebo aplikace) získal přístup. Ověřování se provádí prostřednictvím MICROSOFT Entra ID. Autorizace se může provádět prostřednictvím řízení přístupu na základě role (Azure RBAC) nebo zásad přístupu ke službě Key Vault. Azure RBAC se dá použít pro správu trezorů i pro přístup k datům uloženým v trezoru, zatímco zásady přístupu trezoru klíčů je možné použít jenom při pokusu o přístup k datům uloženým v trezoru. Služby Azure Key Vault můžou být chráněné softwarem nebo s úrovní Premium služby Azure Key Vault chráněné moduly hardwarového zabezpečení (HSM).

  • Monitorování přístupu a použití: Aktivitu můžete monitorovat povolením protokolování pro vaše trezory. Máte kontrolu nad svými protokoly, které můžete zabezpečit prostřednictvím omezení přístupu, a můžete také odstranit protokoly, které už nepotřebujete. Azure Key Vault je možné nakonfigurovat na:

    • Archivace do účtu úložiště
    • Streamování do centra událostí
    • Odešlete protokoly do protokolů služby Azure Monitor.

  • Zjednodušená správa tajných kódů aplikací: Informace o zabezpečení musí být zabezpečené, musí dodržovat životní cyklus a musí být vysoce dostupné. Azure Key Vault zjednodušuje proces splnění těchto požadavků:

    • Odstraňuje potřebu interní znalosti modulů hardwarového zabezpečení.
    • Rychle vertikálně navyšuje kapacitu s ohledem na špičky využití ve vaší organizaci.
    • Replikuje obsah služby Key Vault v jedné oblasti do sekundární oblasti. Replikace dat zajišťuje vysokou dostupnost a zbavuje potřebu jakékoli akce od správce k aktivaci převzetí služeb při selhání.
    • Poskytuje standardní možnosti správy Azure prostřednictvím portálu, Azure CLI nebo PowerShellu.
    • Automatizuje určité úlohy prováděné s certifikáty, které jste zakoupili od veřejných certifikačních autorit, třeba jejich registraci a obnovení.