Azure Key Vault beschrijven

  • 3 minuten

Azure Key Vault is een cloudservice voor het veilig opslaan en openen van geheimen. Een geheim is alles waartoe u de toegang strikt wilt beheren, zoals API-sleutels, wachtwoorden, certificaten of cryptografische sleutels.

Met Azure Key Vault kunt u de volgende problemen oplossen:

  • Geheimenbeheer. U kunt Key Vault gebruiken om de toegang tot tokens, wachtwoorden, certificaten, API-sleutels (Application Programming Interface) en andere geheimen veilig en strikt te beheren.
  • Sleutelbeheer. U kunt Key Vault gebruiken als een oplossing voor sleutelbeheer. Met Key Vault kunt u eenvoudig de versleutelingssleutels maken en beheren waarmee uw gegevens worden versleuteld.
  • Certificaatbeheer. Met Key Vault kunt u openbare en persoonlijke SSL/TLS-certificaten (Secure Sockets Layer/Transport Layer Security) inrichten, beheren en implementeren voor gebruik met Azure en intern verbonden resources.

Azure Key Vault heeft twee servicelagen: Standard, die wordt versleuteld met een softwaresleutel en een Premium-laag, met hardwarebeveiligingsmodule (HSM) beveiligde sleutels.

Waarom Key Vault gebruiken?

Toepassingsgeheimen centraliseren. Door de opslag van toepassingsgeheimen in Azure Key Vault te centraliseren, kunt u de distributie ervan beheren en vermindert u de kans dat geheimen per ongeluk worden gelekt. Wanneer toepassingsontwikkelaars Key Vault gebruiken, hoeven ze geen beveiligingsgegevens meer op te slaan als onderdeel van de code in hun toepassing. In plaats daarvan kan de toepassing veilig toegang krijgen tot de informatie die deze nodig heeft met behulp van een Key Vault-object-id die het object uniek identificeert in de Key Vault. Key Vault-object-id's zijn URL's waarmee de toepassing specifieke versies van een geheim kan ophalen. U hoeft geen aangepaste code te schrijven om de geheime gegevens te beveiligen die zijn opgeslagen in Key Vault.

Voorbeelden van de URL-indeling voor een Azure Key Vault-object-id van de Standard-laag en de beheerde HSM van de Premium-laag zijn als volgt:

  • Voor kluis in de standard-laag: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Voor beheerde HSM: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Sla geheimen en sleutels veilig op. Voor toegang tot een sleutelkluis is de juiste verificatie en autorisatie vereist voordat een aanroeper (gebruiker of toepassing) toegang kan krijgen. Met verificatie wordt de identiteit van de aanroeper vastgesteld, terwijl autorisatie bepaalt welke bewerkingen ze mogen uitvoeren.

Verificatie wordt uitgevoerd via Microsoft Entra. Autorisatie kan worden uitgevoerd via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) of Key Vault-toegangsbeleid.

Azure Key Vault is zo ontworpen dat Microsoft uw gegevens niet ziet of extraheert.

De toegang en het gebruik controleren. Zodra u een aantal Key Vaults hebt gemaakt, kunt u activiteiten bewaken door logboekregistratie in te schakelen voor uw kluizen. U hebt de controle over uw logboeken en kunt ze beveiligen door de toegang te beperken. Bovendien kunt u logboeken verwijderen die u niet meer nodig hebt.

Vereenvoudigd beheer van toepassingsgeheimen. Azure Key Vault vereenvoudigt het beheer dat doorgaans nodig is om uw toepassingsgeheimen te beveiligen, waaronder:

  • Het repliceren van de inhoud van uw Key Vault binnen een regio en naar een secundaire regio. Gegevensreplicatie zorgt voor een maximale beschikbaarheid en de beheerder hoeft geen actie te ondernemen om de failover te activeren.
  • Het bieden van standaard Azure-beheeropties via de portal, Azure CLI en PowerShell.
  • Het automatiseren van bepaalde taken voor certificaten die u aanschaft bij openbare certificeringsinstanties (CA's), zoals inschrijving en verlenging.

Diagram showing a representation of Azure Key Vault, an Azure developer receiving a key vault object identifier as a URI, and a security admin that obtains usage logging for keys.

Bovendien kunt u met sleutelkluizen van Azure toepassingsgeheimen van elkaar scheiden. Toepassingen hebben alleen toegang tot de kluis waartoe ze toegang hebben en kunnen worden beperkt tot het uitvoeren van specifieke bewerkingen. U kunt een Azure-sleutelkluis per toepassing maken en de geheimen die in een bepaalde sluitelkleus zijn opgeslagen beperken tot een specifieke toepassing en team van ontwikkelaars.