Описание Azure Key Vault

  • 3 мин

Azure Key Vault — это облачная служба для безопасного хранения секретов и доступа к ним. Секрет — это то, к чему необходимо строго контролировать доступ, например ключи API, пароли или криптографические ключи.

Azure Key Vault помогает в решении следующих проблем:

  • Управление секретами. Вы можете использовать Key Vault для безопасного и жесткого контроля доступа к токенам, паролям, сертификатам, ключам интерфейса прикладного программирования (API) и другим секретам.
  • Управление ключами. Azure Key Vault можно использовать как решение для управления ключами. Эта служба позволяет легко создавать и контролировать ключи шифрования, используемые для шифрования данных.
  • Управление сертификатами. Key Vault позволяет подготавливать, администрировать и развертывать общедоступные и частные сертификаты ssl/TLS для использования с ресурсами Azure и внутренними подключенными ресурсами.

Azure Key Vault имеет два уровня служб: Стандартный, который шифрует с помощью ключа программного обеспечения и уровня "Премиум", который включает аппаратный модуль безопасности (HSM) защищенных ключей.

Зачем использовать Key Vault?

Централизация секретов приложений. Централизованное хранение секретов приложений в Azure Key Vault позволяет управлять их распределением и значительно снижает вероятность случайной утечки секретов. Когда разработчики приложений используют Key Vault, они больше не должны хранить сведения о безопасности в рамках кода в своем приложении. Вместо этого приложение может безопасно получить доступ к нужным сведениям с помощью идентификатора объекта Key Vault, который однозначно идентифицирует объект в Key Vault. Идентификаторы объектов Key Vault — это URL-адреса, позволяющие приложению получать определенные версии секрета. Для защиты любой секретной информации, хранящейся в Key Vault, не требуется писать пользовательский код.

Ниже приведены примеры формата URL-адреса для идентификатора объекта Azure Key Vault уровня "Стандартный" и управляемого HSM уровня "Премиум".

  • Для хранилищ уровня "Стандартный": https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Для управляемого устройства HSM: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Безопасно хранить секреты и ключи. Прежде чем вызывающий объект (пользователь или приложение) сможет получить доступ к хранилищу ключей, требуется правильная проверка подлинности и авторизация. Проверка подлинности устанавливает удостоверение вызывающего объекта, а авторизация определяет операции, которые они могут выполнять.

Проверка подлинности выполняется через Microsoft Entra. Авторизацию можно выполнить с помощью управления доступом на основе ролей в Azure (Azure RBAC) или политики доступа Key Vault.

Хранилище ключей Azure разработано таким образом, чтобы корпорация Майкрософт не видела или не извлекла данные.

Мониторинг доступа и использования. После создания нескольких хранилищ ключей вы можете отслеживать действия, включив ведение журнала для хранилищ. У вас есть контроль над журналами, их можно защитить, ограничив доступ. Кроме того, вы можете удалить ненужные журналы.

Упрощенное администрирование секретов приложений. Azure Key Vault упрощает администрирование, которое обычно требуется для защиты секретов приложения, в том числе:

  • Репликацию содержимого Key Vault в рамках региона и в дополнительный регион. Репликация данных обеспечивает высокий уровень доступности и не требует вмешательства администратора для запуска отработки отказа.
  • Предоставление стандартных возможностей администрирования через портал, Azure CLI и PowerShell.
  • Автоматизация определенных задач для сертификатов, приобретенных у государственных центров сертификации (ЦС), таких как регистрация и продление.

Diagram showing a representation of Azure Key Vault, an Azure developer receiving a key vault object identifier as a URI, and a security admin that obtains usage logging for keys.

Кроме того, Azure Key Vault позволяет разделять секреты приложений. Приложения могут получить доступ только к хранилищу, к которому они разрешены доступ, и они могут быть ограничены только для выполнения определенных операций. Вы можете создать Azure Key Vault для каждого приложения и ограничить секреты, хранящиеся в Key Vault, конкретным приложением и командой разработчиков.