Explorer Azure Key Vault

  • 3 minutes

Le service Azure Key Vault prend en charge deux types de conteneurs : les coffres et les pools de modules de sécurité matériel managés (HSM). Les coffres prennent en charge le stockage des clés logicielles et sauvegardées avec HSM, les secrets et les certificats. Les pools HSM managés prennent uniquement en charge les clés sauvegardées avec HSM.

Azure Key Vault permet de résoudre les problèmes suivants :

  • Gestion des secrets : Azure Key Vault peut être utilisé pour stocker et contrôler en toute sécurité l’accès aux jetons, mots de passe, certificats, clés API et autres secrets

  • Gestion des clés : Azure Key Vault peut également être utilisé comme solution de gestion des clés. Azure Key Vault facilite la création et le contrôle des clés de chiffrement utilisées pour chiffrer vos données.

  • Gestion des certificats : Azure Key Vault est également un service qui vous permet de provisionner, de gérer et de déployer facilement des certificats SSL/TLS (Secure Sockets Layer) publics et privés à utiliser avec Azure et vos ressources connectées internes.

Azure Key Vault a deux niveaux de service : Standard, qui chiffre avec une clé logicielle et un niveau Premium, qui inclut des clés protégées par le module de sécurité matériel (HSM). Pour voir une comparaison entre les niveaux Standard et Premium, consultez la page de tarification d’Azure Key Vault.

Avantages clés de l’utilisation d’Azure Key Vault

  • Secrets d’application centralisés : La centralisation du stockage des secrets d’application dans Azure Key Vault vous permet de contrôler leur distribution. Par exemple, au lieu de stocker la chaîne de connexion dans le code de l’application, vous pouvez la stocker en toute sécurité dans Key Vault. Vos applications peuvent accéder en toute sécurité aux informations nécessaires en utilisant des URI. Ces URI permettent aux applications de récupérer des versions spécifiques d’un secret.

  • Stockez en toute sécurité les secrets et les clés : L’accès à un coffre de clés nécessite une authentification et une autorisation appropriées avant qu’un appelant (utilisateur ou application) puisse obtenir l’accès. L’authentification s’effectue via Microsoft Entra ID. L’autorisation peut être effectuée via le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ou la stratégie d’accès Key Vault. Azure RBAC peut être utilisé pour la gestion des coffres et pour accéder aux données stockées dans un coffre. Une stratégie d’accès au coffre de clés ne peut être utilisée que lorsque vous tentez d’accéder aux données stockées dans un coffre. Les coffres de clés Azure peuvent être protégés par logiciel ou, avec le niveau Premium d'Azure Key Vault, protégés par du matériel grâce à des modules de sécurité matériels (HSM).

  • Supervision des accès et de l’utilisation : Vous pouvez surveiller l’activité en activant la journalisation pour vos coffres. Vous avez le contrôle sur vos journaux et vous pouvez les sécuriser en limitant l’accès et en supprimant également les journaux dont vous n’avez plus besoin. Les journaux de diagnostic et les métriques Azure Key Vault peuvent être configurés pour :

    • Archiver dans un compte de stockage.
    • Diffusion sur un Event Hub.
    • Envoyez des journaux aux journaux Azure Monitor.

  • Administration simplifiée des secrets d’application : Les informations de sécurité doivent être sécurisées, elles doivent suivre un cycle de vie, et elles doivent être hautement disponibles. Azure Key Vault simplifie le processus de conformité de ces exigences en procédant comme suit :

    • Suppression de la nécessité d’une connaissance interne des modules de sécurité matérielle
    • Montée en puissance dans un délai très court pour répondre aux pics d’utilisation de votre organisation.
    • Réplication du contenu de votre coffre de clés au sein d’une région et vers une région secondaire. La réplication des données garantit la haute disponibilité et évite la nécessité d’une action de l’administrateur pour déclencher le basculement.
    • Fournir des options d’administration Azure standard via le portail, Azure CLI et PowerShell.
    • Automatisation de certaines tâches sur les certificats que vous achetez auprès des autorités de certification publiques, telles que l’inscription et le renouvellement.