Freigeben über


Mehrinstanzenfähigkeit und Azure Key Vault

Azure Key Vault dient der Verwaltung sicherer Daten für Ihre Lösung, einschließlich Geheimnisse, Verschlüsselungsschlüssel und Zertifikate. In diesem Artikel werden einige der Features von Azure Key Vault vorgestellt, die für mehrinstanzenfähige Lösungen nützlich sind. Wir bieten außerdem Links zu den Anleitungen, die Ihnen bei der Planung der Nutzung von Key Vault helfen können.

Isolationsmodelle

Bei der Arbeit mit einem mehrinstanzenfähigen System, das Azure Key Vault nutzt, müssen Sie eine Entscheidung zum gewünschten Isolationsgrad treffen. Die Wahl des Isolationsmodells hängt von den folgenden Faktoren ab:

  • Für wie viele Mandanten planen Sie?
  • Geben Sie Ihre Anwendungsebene für mehrere Mandanten frei? Stellen Sie Anwendungsinstanzen für einen einzelnen Mandanten oder für jeden Mandanten einen eigenen Bereitstellungsstempel bereit?
  • Müssen Ihre Mandanten ihre eigenen Verschlüsselungsschlüssel verwalten?
  • Gelten für Ihre Mandanten Vorschriften, die verlangen, dass ihre Geheimnisse getrennt von denen anderer Mandanten gespeichert werden?

In der folgenden Tabelle werden die Unterschiede der wichtigsten Mandantenmodelle für Key Vault erläutert:

Aspekt Tresor pro Mandant im Abonnement des Anbieters Tresor pro Mandant im Abonnement des Mandanten Freigegebener Tresor
Datenisolation High Sehr hoch Niedrig
Leistungsisolation Mittel. Hoher Durchsatz ggf. begrenzt, selbst bei vielen Tresoren High Niedrig
Bereitstellungskomplexität Niedrig bis mittel, je nach Anzahl der Mandanten Hoch. Der Mandant muss dem Anbieter ordnungsgemäß Zugriff gewähren Niedrig
Komplexität des Betriebs High Niedrig für den Anbieter, höher für den Mandanten Niedrigste
Beispielszenario Einzelne Anwendungsinstanzen pro Mandant Von Kunden verwaltete Verschlüsselungsschlüssel Große Lösung mit mehreren Mandanten mit freigegebener Anwendungsebene

Tresor pro Mandant im Abonnement des Anbieters

Sie können erwägen, einen Tresor für jeden Ihrer Mandanten innerhalb Ihres Azure-Abonnements (des Dienstanbieters) bereitzustellen. Dieser Ansatz bietet Ihnen eine starke Datenisolation zwischen den Daten der einzelnen Mandanten. Allerdings ist es erforderlich, dass Sie mit der Erhöhung der Anzahl der Mandanten eine zunehmende Anzahl an Tresoren bereitstellen und verwalten.

Die Anzahl der Tresore, die Sie in einem Azure-Abonnement bereitstellen können, ist unbegrenzt. Sie sollten jedoch die folgenden Grenzwerte beachten:

Tresor pro Mandant im Abonnement des Mandanten

In bestimmten Situationen erstellen Ihre Mandanten möglicherweise Tresore in ihren eigenen Azure-Abonnements und möchten Ihrer Anwendung Zugriff auf Geheimnisse, Zertifikate oder Schlüssel gewähren. Dieser Ansatz ist geeignet, wenn Sie kundenseitig verwaltete Schlüssel für die Verschlüsselung innerhalb Ihrer Lösung zulassen.

Um auf die Daten im Tresor Ihres Mandanten zugreifen zu können, muss der Mandant Ihrer Anwendung Zugriff auf seinen Tresor gewähren. Dieser Prozess setzt voraus, dass sich Ihre Anwendung über die Microsoft Entra-Instanz authentifiziert. Eine Möglichkeit besteht darin, eine mehrinstanzenfähige Microsoft Entra-Anwendung zu veröffentlichen. Ihre Mandanten müssen einen einmaligen Einwilligungsprozess ausführen. Der Mandant registriert zuerst die mehrinstanzenfähige Microsoft Entra-Anwendung im eigenen Microsoft Entra-Mandanten. Dann gewähren sie Ihrer mehrinstanzenfähigen Microsoft Entra-Anwendung die entsprechende Zugriffsebene für ihren Tresor. Sie müssen Ihnen auch die vollständige Ressourcen-ID des Tresors mitteilen, den sie erstellt haben. Dann kann Ihr Anwendungscode einen Dienstprinzipal verwenden, der der mehrinstanzenfähigen Microsoft Entra-Anwendung in Ihrer eigenen Microsoft Entra ID zugeordnet ist, um auf den Tresor der einzelnen Mandanten zuzugreifen.

Alternativ können Sie jeden Mandanten bitten, ein Dienstprinzipal für Ihren Dienst zu erstellen und Ihnen dessen Anmeldeinformationen mitzuteilen. Dieser Ansatz setzt jedoch voraus, dass Sie die Anmeldeinformationen jedes Mandanten sicher aufbewahren und verwalten, was ein Sicherheitsrisiko darstellt.

Wenn Ihre Mandanten Netzwerkzugriffssteuerungen für ihre Tresore konfigurieren, stellen Sie sicher, dass Sie auf die Tresore zugreifen können. Entwerfen Sie Ihre Anwendung so, dass Situationen behandelt werden, in denen ein Mandant seine Netzwerkzugriffssteuerungen ändert und verhindert, dass Sie auf ihre Tresore zugreifen.

Freigegebene Tresore

Sie können sich entscheiden, die Geheimnisse der Mandanten in einem einzelnen Tresor freizugeben. Der Tresor wird in Ihrem Azure-Abonnement (dem des Lösungsanbieters) bereitgestellt, und Sie sind für dessen Verwaltung verantwortlich. Dieser Ansatz ist zwar der einfachste, bietet aber bietet die geringste Daten- und Leistungsisolation.

Sie können auch mehrere freigegebene Tresore bereitstellen. Wenn Sie beispielsweise dem Muster für Bereitstellungsstempel folgen, ist es wahrscheinlich, dass Sie in jedem Stempel einen freigegebenen Tresor bereitstellen. Wenn Sie eine Lösung für mehrere Regionen bereitstellen, sollten Sie aus den folgenden Gründen Tresore in jeder Region bereitstellen:

  • Vermeiden von Latenz beim regionsübergreifenden Datenverkehr beim Arbeiten mit den Daten in Ihrem Tresor
  • Erfüllen von Anforderungen an Datenresidenz
  • Ermöglichen der Nutzung regionaler Tresore innerhalb anderer Dienste, die eine Bereitstellung in derselben Region erfordern

Wenn Sie mit einem freigegebenen Tresor arbeiten, ist es wichtig, dass Sie die Anzahl der Vorgänge berücksichtigen, die auf den Tresor angewendet werden. Vorgänge umfassen das Lesen von Geheimnissen sowie die Ver- und Entschlüsselung. Key Vault begrenzt die Anzahl der Anforderungen, die an einen einzelnen Tresor und an alle Tresore innerhalb eines Azure-Abonnements gestellt werden können. Befolgen Sie unbedingt die Anleitungen zur Drosselung. Es ist wichtig, die empfohlenen Vorgehensweisen zu befolgen. Dazu gehörigen die sichere Zwischenspeicherung der von Ihnen abgerufenen Geheimnisse und Verwendung der Umschlagverschlüsselung, um zu vermeiden, dass jeder Verschlüsselungsvorgang an Key Vault gesendet wird. Wenn Sie diese bewährten Methoden befolgen, können Sie umfangreiche Lösungen mit einem einzigen Tresor betreiben.

Wenn Sie mandantenspezifische Geheimnisse, Schlüssel oder Zertifikate speichern müssen, sollten Sie eine Benennungskonvention wie ein Namenspräfix erwägen. Sie können beispielsweise die Mandanten-ID dem Namen eines jeden Geheimnisses voranstellen. Anschließend kann Ihr Anwendungscode ganz einfach den Wert eines bestimmten Geheimnisses für einen bestimmten Mandanten laden.

Features von Azure Key Vault, die Mehrinstanzenfähigkeit unterstützen

Tags

Key Vault unterstützt das Kennzeichnen von Geheimnissen, Zertifikaten und Schlüsseln mit benutzerdefinierten Metadaten in Form von Tags, sodass Sie mithilfe eines Tags die Mandanten-ID jedes mandantenspezifischen Geheimnisses nachverfolgen können. Key Vault unterstützt jedoch keine Abfrage nach Tags, weshalb sich dieses Feature am besten für Verwaltungszwecke und nicht für die Verwendung innerhalb Ihrer Anwendungslogik eignet.

Weitere Informationen:

Azure Policy-Unterstützung

Wenn Sie sich für das Bereitstellen einer großen Anzahl von Tresoren entscheiden, ist es wichtig, dass dabei ein einheitlicher Standard für die Konfiguration von Netzwerkzugriff, Protokollierung und Zugriffssteuerung befolgt wird. Ziehen Sie Azure Policy in Betracht, um zu überprüfen, ob die Tresore Ihren Anforderungen entsprechend konfiguriert sind.

Weitere Informationen:

Verwaltetes HSM und Dedicated HSM

Wenn eine große Anzahl von Vorgängen pro Sekunde erfolgen muss und die für den Key Vault-Betrieb geltenden Grenzwerte ungeeignet sind, sollten Sie entweder verwaltetes HSM oder Dedicated HSM verwenden. Beide Produkte bieten Ihnen eine reservierte Kapazitätsmenge, sind aber in der Regel kostenintensiver als Key Vault. Beachten Sie außerdem die Obergrenzen für die Anzahl der Instanzen dieser Dienste, die Sie in jeder Region bereitstellen können.

Weitere Informationen:

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

Andere Mitwirkende:

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte

Lesen Sie Bereitstellungs- und Konfigurationsansätze für die Mehrinstanzenfähigkeit.