Dela via

Flera klientorganisationer och Azure Key Vault

  • Artikel

Azure Key Vault används för att hantera säkra data för din lösning, inklusive hemligheter, krypteringsnycklar och certifikat. I den här artikeln beskriver vi några av funktionerna i Azure Key Vault som är användbara för lösningar med flera klientorganisationer. Vi tillhandahåller sedan länkar till vägledningen som kan hjälpa dig när du planerar hur du ska använda Key Vault.

Isoleringsmodeller

När du arbetar med ett system med flera klientorganisationer med Key Vault måste du fatta ett beslut om den isoleringsnivå som du vill använda. Valet av isoleringsmodeller som du använder beror på följande faktorer:

  • Hur många klienter planerar du att ha?
  • Delar du programnivån mellan flera klienter, distribuerar du programinstanser med en klientorganisation eller distribuerar du separata distributionsstämplar för varje klientorganisation?
  • Behöver dina klienter hantera sina egna krypteringsnycklar?
  • Har dina klienter efterlevnadskrav som kräver att deras hemligheter lagras separat från andra klientorganisationers hemligheter?

I följande tabell sammanfattas skillnaderna mellan de viktigaste innehavarmodellerna för Key Vault:

Att tänka på Valv per klientorganisation i providerns prenumeration Valv per klientorganisation i klientorganisationens prenumeration Delat valv
Dataisolering Högt Mycket högt Låg
Prestandaisolering Medel. Högt dataflöde kan vara begränsat, även med många valv Högt Låg
Distributionskomplexitet Låg medelhög, beroende på antalet klienter Hög. Klientorganisationen måste bevilja åtkomst till providern på rätt sätt Låg
Driftkomplexitet Högt Låg för providern, högre för klientorganisationen Lägsta
Exempelscenario Enskilda programinstanser per klientorganisation Kundhanterade krypteringsnycklar Stor lösning för flera klientorganisationer med en delad programnivå

Valv per klientorganisation i providerns prenumeration

Du kan överväga att distribuera ett valv för var och en av dina klienter i din (tjänstleverantörens) Azure-prenumeration. Den här metoden ger dig stark dataisolering mellan varje klientorganisations data. Det kräver dock att du distribuerar och hanterar ett ökande antal valv, eftersom du ökar antalet klienter.

Det finns ingen gräns för hur många valv du kan distribuera till en Azure-prenumeration. Du bör dock överväga följande begränsningar:

Valv per klientorganisation i klientorganisationens prenumeration

I vissa situationer kan dina klienter skapa valv i sina egna Azure-prenumerationer och de kanske vill ge programmet åtkomst till att arbeta med hemligheter, certifikat eller nycklar. Den här metoden är lämplig när du tillåter kundhanterade nycklar (CMK:er) för kryptering i din lösning.

För att få åtkomst till data i din klients valv måste klientorganisationen ge ditt program åtkomst till deras valv. Den här processen kräver att ditt program autentiseras via sin Microsoft Entra-instans. En metod är att publicera ett Microsoft Entra-program med flera klientorganisationer. Dina klienter måste utföra en engångsmedgivandeprocess. De registrerar först Microsoft Entra-programmet för flera klienter i sin egen Microsoft Entra-klientorganisation. Sedan ger de ditt Microsoft Entra-program med flera klientorganisationer rätt åtkomstnivå till deras valv. De måste också ge dig det fullständiga resurs-ID:t för valvet som de har skapat. Sedan kan din programkod använda ett huvudnamn för tjänsten som är associerat med microsoft Entra-programmet med flera klienter i ditt eget Microsoft Entra-ID för att få åtkomst till varje klientorganisations valv.

Alternativt kan du be varje klientorganisation att skapa ett huvudnamn för tjänsten som tjänsten ska använda och att ge dig dess autentiseringsuppgifter. Den här metoden kräver dock att du lagrar och hanterar autentiseringsuppgifter på ett säkert sätt för varje klientorganisation, vilket är en säkerhetsskyldighet.

Om dina klienter konfigurerar nätverksåtkomstkontroller i sina valv kontrollerar du att du kan komma åt valven. Utforma ditt program för att hantera situationer där en klientorganisation ändrar sina nätverksåtkomstkontroller och hindrar dig från att komma åt deras valv.

Delade valv

Du kan välja att dela klientorganisationens hemligheter i ett enda valv. Valvet distribueras i din (lösningsleverantörens) Azure-prenumeration och du ansvarar för att hantera det. Den här metoden är enklast, men den ger minst dataisolering och prestandaisolering.

Du kan också välja att distribuera flera delade valv. Om du till exempel följer mönstret Distributionsstämplar är det troligt att du distribuerar ett delat valv inom varje stämpel. Om du distribuerar en lösning för flera regioner bör du på samma sätt distribuera valv till varje region av följande skäl:

  • För att undvika trafikfördröjning mellan regioner när du arbetar med data i valvet.
  • För att stödja krav på datahemvist.
  • För att aktivera användning av regionala valv inom andra tjänster som kräver distributioner i samma region.

När du arbetar med ett delat valv är det viktigt att tänka på hur många åtgärder du utför mot valvet. Åtgärderna omfattar att läsa hemligheter och utföra krypterings- eller dekrypteringsåtgärder. Key Vault begränsar antalet begäranden som kan göras mot ett enda valv och för alla valv i en Azure-prenumeration. Se till att du följer riktlinjerna för begränsning. Det är viktigt att följa de rekommenderade metoderna, inklusive att på ett säkert sätt cachelagra hemligheterna som du hämtar och använda kuvertkryptering för att undvika att skicka varje krypteringsåtgärd till Key Vault. När du följer dessa metodtips kan du köra storskaliga lösningar mot ett enda valv.

Om du behöver lagra klientspecifika hemligheter, nycklar eller certifikat bör du överväga att använda en namngivningskonvention som ett namngivningsprefix. Du kan till exempel förbereda klientorganisations-ID:t till namnet på varje hemlighet. Sedan kan programkoden enkelt läsa in värdet för en specifik hemlighet för en specifik klientorganisation.

Funktioner i Azure Key Vault som stöder flera klientorganisationer

Taggar

Key Vault stöder taggning av hemligheter, certifikat och nycklar med anpassade metadata, så att du kan använda en tagg för att spåra klientorganisations-ID:t för varje klientspecifik hemlighet. Key Vault stöder dock inte frågor efter taggar, så den här funktionen passar bäst i hanteringssyfte i stället för att användas i din programlogik.

Mer information:

Stöd för Azure-princip

Om du bestämmer dig för att distribuera ett stort antal valv är det viktigt att se till att de följer en konsekvent standard för konfiguration, loggning och åtkomstkontroll för nätverk. Överväg att använda Azure Policy för att kontrollera att valven har konfigurerats enligt dina krav.

Mer information:

Hanterad HSM och dedikerad HSM

Om du behöver utföra ett stort antal åtgärder per sekund och nyckelvalvsåtgärdsgränserna inte är tillräckliga kan du överväga att använda antingen Managed HSM eller Dedicated HSM. Båda produkterna ger dig en reserverad mängd kapacitet, men de är vanligtvis dyrare än Key Vault. Dessutom bör du vara medveten om gränserna för antalet instanser av dessa tjänster som du kan distribuera till varje region.

Mer information:

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Övriga medarbetare:

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg

Granska distributions- och konfigurationsmetoder för flera klientorganisationer.