Azure Key Vault verkennen

  • 3 minuten

De Azure Key Vault-service ondersteunt twee typen containers: kluizen en beheerde HSM-pools (Hardware Security Module). Kluizen ondersteunen het opslaan van door software en HSM ondersteunde sleutels, geheimen en certificaten. Beheerde HSM-pools ondersteunen alleen sleutels met HSM-ondersteuning.

Azure Key Vault helpt bij het oplossen van de volgende problemen:

  • Geheimenbeheer: Azure Key Vault kan worden gebruikt om de toegang tot tokens, wachtwoorden, certificaten, API-sleutels en andere geheimen veilig op te slaan en strikt te beheren

  • Sleutelbeheer: Azure Key Vault kan ook worden gebruikt als een oplossing voor sleutelbeheer. Met Azure Key Vault kunt u eenvoudig de versleutelingssleutels maken en beheren die worden gebruikt om uw gegevens te versleutelen.

  • Certificaatbeheer: Azure Key Vault is ook een service waarmee u eenvoudig openbare en persoonlijke SSL/TLS-certificaten (Secure Sockets Layer/Transport Layer Security) kunt inrichten, beheren en implementeren voor gebruik met Azure en uw interne verbonden resources.

Azure Key Vault heeft twee servicelagen: Standard, die wordt versleuteld met een softwaresleutel en een Premium-laag, die hardwarebeveiligingsmodule(HSM)-beveiligde sleutels bevat. Zie de pagina met prijzen van Azure Key Vault voor een vergelijking tussen de standard- en Premium-lagen.

Belangrijke voordelen van het gebruik van Azure Key Vault

  • Gecentraliseerde toepassingsgeheimen: met Centraliseren van opslag van toepassingsgeheimen in Azure Key Vault kunt u hun distributie beheren. In plaats van bijvoorbeeld de verbindingsreeks op te slaan in de code van de app, kunt u deze veilig opslaan in Key Vault. Uw toepassingen hebben veilig toegang tot de informatie die ze nodig hebben met behulp van URI's. Met deze URI's kunnen de toepassingen specifieke versies van een geheim ophalen.

  • geheimen en sleutels veilig opslaan: Toegang tot een sleutelkluis vereist de juiste verificatie en autorisatie voordat een beller (gebruiker of toepassing) toegang kan krijgen. Verificatie wordt uitgevoerd via Microsoft Entra-id. Autorisatie kan worden uitgevoerd via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) of Key Vault-toegangsbeleid. Azure RBAC kan worden gebruikt voor zowel het beheer van de kluizen als voor toegang tot gegevens die zijn opgeslagen in een kluis, terwijl toegangsbeleid voor key vault alleen kan worden gebruikt wanneer u toegang probeert te krijgen tot gegevens die zijn opgeslagen in een kluis. Azure Key Vaults kunnen ofwel met software worden beveiligd of, met de Premium-laag van Azure Key Vault, met hardware beveiligd worden door hardwarebeveiligingsmodules (HSM's).

  • Toegang en gebruik bewaken: U kunt activiteiten bewaken door logging voor uw kluizen in te schakelen. U hebt controle over uw logboeken en u kunt ze beveiligen door de toegang te beperken en u kunt ook logboeken verwijderen die u niet meer nodig hebt. Azure Key Vault kan worden geconfigureerd voor:

    • Archiveren naar een opslagaccount.
    • Streamen naar een Event Hub.
    • Verzend de logboeken naar Azure Monitor-logboeken.

  • Vereenvoudigd beheer van toepassingsgeheimen: beveiligingsgegevens moeten worden beveiligd, moet deze een levenscyclus volgen en moet maximaal beschikbaar zijn. Azure Key Vault vereenvoudigt het proces van het voldoen aan deze vereisten door:

    • De noodzaak van interne kennis van hardwarebeveiligingsmodules verwijderen
    • Snel opschalen om te voldoen aan de gebruikspieken van uw organisatie.
    • De inhoud van uw Sleutelkluis binnen een regio en naar een secundaire regio repliceren. Gegevensreplicatie zorgt voor hoge beschikbaarheid en neemt de noodzaak weg van een actie van de beheerder om de failover te activeren.
    • Biedt standaardopties voor Azure-beheer via de portal, Azure CLI en PowerShell.
    • Bepaalde taken automatiseren voor certificaten die u aanschaft bij openbare CA's, zoals inschrijving en verlenging.