Erkunden von Azure Key Vault

  • 3 Minuten

Der Azure Key Vault-Dienst unterstützt zwei Arten von Containern: Tresore und verwaltete Hardwaresicherheitsmodul(HSM)-Pools. Tresore unterstützen das Speichern von Software und HSM-gesicherten Schlüsseln, geheimen Schlüsseln und Zertifikaten. Verwaltete HSM-Pools unterstützen nur HSM-gesicherte Schlüssel.

Azure Key Vault hilft bei der Lösung der folgenden Probleme:

  • Secrets Management: Azure Key Vault kann verwendet werden, um den Zugriff auf Token, Kennwörter, Zertifikate, API-Schlüssel und andere geheime Schlüssel sicher zu speichern und streng zu steuern.

  • Schlüsselverwaltung: Azure Key Vault kann auch als Schlüsselverwaltungslösung verwendet werden. Azure Key Vault erleichtert das Erstellen und Steuern der Verschlüsselungsschlüssel, die zum Verschlüsseln Ihrer Daten verwendet werden.

  • Zertifikatverwaltung: Azure Key Vault ist auch ein Dienst, mit dem Sie öffentliche und private SSL/TLS-Zertifikate für die Verwendung mit Azure und Ihren internen verbundenen Ressourcen problemlos bereitstellen, verwalten und bereitstellen können.

Azure Key Vault verfügt über zwei Dienstebenen: Standard, der mit einem Softwareschlüssel verschlüsselt wird, und eine Premium-Stufe, die Hardwaresicherheitsmodul(HSM)-geschützte Schlüssel enthält. Einen Vergleich zwischen den Stufen "Standard" und "Premium" finden Sie auf der Azure Key Vault-Preisseite.

Wichtige Vorteile der Verwendung von Azure Key Vault

  • zentrale Anwendungsgeheimnisse: Zentrale Speicherung geheimer Anwendungsschlüssel in Azure Key Vault ermöglicht es Ihnen, ihre Verteilung zu steuern. Anstatt beispielsweise die Verbindungszeichenfolge im App-Code zu speichern, können Sie sie sicher im Key Vault speichern. Ihre Anwendungen können mithilfe von URIs sicher auf die benötigten Informationen zugreifen. Diese URIs ermöglichen es den Anwendungen, bestimmte Versionen eines geheimen Schlüssels abzurufen.

  • Schlüssel sicher speichern: Zugriff auf einen Schlüsseltresor erfordert eine ordnungsgemäße Authentifizierung und Autorisierung, bevor ein Anrufer (Benutzer oder Anwendung) Zugriff erhalten kann. Die Authentifizierung erfolgt über die Microsoft Entra-ID. Die Autorisierung kann über die rollenbasierte Azure-Zugriffssteuerung (Azure RBAC) oder die Key Vault-Zugriffsrichtlinie erfolgen. Azure RBAC kann sowohl für die Verwaltung der Tresore als auch für den Zugriff auf in einem Tresor gespeicherte Daten verwendet werden, während die Zugriffsrichtlinie für den Schlüsseltresor nur verwendet werden kann, wenn versucht wird, auf daten zuzugreifen, die in einem Tresor gespeichert sind. Azure Key Vaults können entweder softwaregeschützt oder mit der Azure Key Vault Premium-Ebene hardwaregeschützt durch Hardwaresicherheitsmodule (HARDWARE Security Modules, HSMs) sein.

  • Zugriff und Nutzung überwachen: Sie können Aktivität überwachen, indem Sie die Protokollierung für Ihre Tresore aktivieren. Sie haben die Kontrolle über Ihre Protokolle, und Sie können sie schützen, indem Sie den Zugriff einschränken, und Sie können auch Protokolle löschen, die Sie nicht mehr benötigen. Azure Key Vault kann für Folgendes konfiguriert werden:

    • Archivieren in ein Speicherkonto.
    • Streamen sie an einen Event Hub.
    • Senden Sie die Protokolle an Azure Monitor-Protokolle.

  • Vereinfachte Verwaltung von Anwendungsgeheimnissen: Sicherheitsinformationen müssen gesichert werden, sie muss einem Lebenszyklus folgen und muss hoch verfügbar sein. Azure Key Vault vereinfacht den Prozess der Erfüllung dieser Anforderungen durch:

    • Entfernen des Bedarfs an internen Kenntnissen von Hardwaresicherheitsmodulen
    • Kurzfristig skalieren, um Spitzen des Nutzungsbedarfs Ihrer Organisation zu bewältigen.
    • Replizieren des Inhalts Ihres Key Vault innerhalb einer Region und in eine sekundäre Region. Die Datenreplikation stellt eine hohe Verfügbarkeit sicher und entfernt die Notwendigkeit einer Aktion des Administrators, um das Failover auszulösen.
    • Bereitstellen standardmäßiger Azure-Verwaltungsoptionen über das Portal, Azure CLI und PowerShell.
    • Automatisieren bestimmter Aufgaben für Zertifikate, die Sie von öffentlichen Zertifizierungsstellen erwerben, z. B. Registrierung und Verlängerung.