Eksplorowanie usługi Azure Key Vault

  • 3 min

Usługa Azure Key Vault obsługuje dwa typy kontenerów: magazyny i zarządzane pule modułów zabezpieczeń sprzętu (HSM). Magazyny obsługują przechowywanie kluczy, wpisów tajnych i certyfikatów opartych na oprogramowaniu i module HSM. Zarządzane pule modułów HSM obsługują tylko klucze oparte na module HSM.

Usługa Azure Key Vault pomaga rozwiązać następujące problemy:

  • Zarządzanie wpisami tajnymi: Usługa Azure Key Vault może służyć do bezpiecznego przechowywania i ścisłego kontrolowania dostępu do tokenów, haseł, certyfikatów, kluczy interfejsu API i innych wpisów tajnych

  • Zarządzanie kluczami: Usługa Azure Key Vault może być również używana jako rozwiązanie do zarządzania kluczami. Usługa Azure Key Vault ułatwia tworzenie i kontrolowanie kluczy szyfrowania używanych do szyfrowania danych.

  • Zarządzanie certyfikatami: Usługa Azure Key Vault to również usługa, która umożliwia łatwe aprowizowania i wdrażania publicznych i prywatnych certyfikatów Secure Sockets Layer/Transport Layer Security (SSL/TLS) do użycia z platformą Azure i wewnętrznymi połączonymi zasobami.

Usługa Azure Key Vault ma dwie warstwy usług: Standardowa, która szyfruje kluczem oprogramowania, oraz warstwę Premium, która obejmuje klucze chronione przez sprzętowy moduł zabezpieczeń (HSM). Aby wyświetlić porównanie warstw Standardowa i Premium, zobacz stronę cennika usługi Azure Key Vault.

Najważniejsze korzyści wynikające z korzystania z usługi Azure Key Vault

  • Scentralizowane wpisy tajne aplikacji: Scentralizowanie przechowywania wpisów tajnych aplikacji w usłudze Azure Key Vault umożliwia kontrolowanie ich dystrybucji. Na przykład zamiast przechowywać parametry połączenia w kodzie aplikacji, można je bezpiecznie przechowywać w Key Vault. Twoje aplikacje mogą bezpiecznie uzyskiwać dostęp do potrzebnych informacji za pomocą identyfikatorów URI. Te identyfikatory URI umożliwiają aplikacjom pobranie określonych wersji wpisu tajnego.

  • Bezpieczne przechowywanie wpisów tajnych i kluczy: Dostęp do magazynu kluczy wymaga odpowiedniego uwierzytelniania i autoryzacji, zanim obiekt wywołujący (użytkownik lub aplikacja) będzie mógł uzyskać dostęp. Uwierzytelnianie jest wykonywane za pośrednictwem usługi Azure Active Directory. Autoryzacja może odbywać się za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure lub zasad dostępu Key Vault. Kontrola dostępu oparta na rolach platformy Azure jest używana podczas zarządzania magazynami i zasadami dostępu magazynu kluczy podczas próby uzyskania dostępu do danych przechowywanych w magazynie. Usługa Azure Key Vault może być chroniona przez oprogramowanie lub z usługą Azure Key Vault w warstwie Premium, chronioną sprzętowo przez sprzętowe moduły zabezpieczeń (HSM).

  • Monitorowanie dostępu i użycia: Działanie można monitorować, włączając rejestrowanie dla magazynów. Kontrolujesz dzienniki i możesz je zabezpieczyć przez ograniczenie dostępu, a także możesz usunąć dzienniki, które nie są już potrzebne. Usługę Azure Key Vault można skonfigurować do:

    • Archiwizowanie na koncie magazynu.
    • Przesyłanie strumieniowe do centrum zdarzeń.
    • Wyślij dzienniki do dzienników usługi Azure Monitor.

  • Uproszczone administrowanie wpisami tajnymi aplikacji: Informacje zabezpieczające muszą być zabezpieczone, muszą być zgodne z cyklem życia i muszą być wysoce dostępne. Usługa Azure Key Vault upraszcza proces spełnienia tych wymagań przez:

    • Brak konieczności posiadania wiedzy z zakresu sprzętowych modułów zabezpieczeń w firmie.
    • Skalowanie w górę w krótkim czasie w celu spełnienia nagłego zapotrzebowania organizacji.
    • Replikowanie zawartości usługi Key Vault w regionie do regionu pomocniczego. Replikacja danych zapewnia wysoką dostępność i eliminuje konieczność wykonywania jakichkolwiek czynności przez administratora w celu wyzwolenia trybu failover.
    • Udostępnianie standardowych opcji administrowania platformą Azure za pośrednictwem portalu, interfejsu wiersza polecenia platformy Azure i programu PowerShell.
    • Zautomatyzowanie pewnych zadań związanych z certyfikatami kupowanymi od publicznych urzędów certyfikacji, na przykład ich rejestracji i odnawiania.