Eksplorowanie usługi Azure Key Vault

  • 3 min

Usługa Azure Key Vault obsługuje dwa typy kontenerów: magazyny i zarządzane pule modułów zabezpieczeń sprzętu (HSM). Magazyny obsługują przechowywanie kluczy opartych na oprogramowaniu i modułach HSM, a także wpisów tajnych i certyfikatów. Zarządzane pule HSM obsługują tylko klucze wspierane modułem HSM.

Usługa Azure Key Vault pomaga rozwiązać następujące problemy:

  • Secrets Management: usługi Azure Key Vault można używać do bezpiecznego przechowywania i ścisłego kontrolowania dostępu do tokenów, haseł, certyfikatów, kluczy API i innych tajemnic

  • zarządzanie kluczami: usługę Azure Key Vault można również użyć jako rozwiązania do zarządzania kluczami. Usługa Azure Key Vault ułatwia tworzenie i kontrolowanie kluczy szyfrowania używanych do szyfrowania danych.

  • Zarządzanie certyfikatami: Azure Key Vault to również usługa, która umożliwia łatwe aprowizowania i wdrażania publicznych i prywatnych certyfikatów Secure Sockets Layer/Transport Layer Security (SSL/TLS) do użytku z platformą Azure i wewnętrznymi połączonymi zasobami.

Usługa Azure Key Vault ma dwie warstwy usług: Standardowa, która szyfruje przy użyciu klucza oprogramowania i warstwę Premium, która obejmuje klucze chronione przez sprzętowy moduł zabezpieczeń (HSM). Aby wyświetlić porównanie planów Standardowa i Premium, odwiedź stronę z cennikiem usługi Azure Key Vault .

Najważniejsze korzyści wynikające z korzystania z usługi Azure Key Vault

  • Scentralizowane tajemnice aplikacji: Scentralizowane przechowywanie tajemnic aplikacji w usłudze Azure Key Vault umożliwia kontrolowanie ich dystrybucji. Na przykład zamiast przechowywać parametry połączenia w kodzie aplikacji, można je bezpiecznie przechowywać w usłudze Key Vault. Aplikacje mogą bezpiecznie uzyskiwać dostęp do potrzebnych informacji przy użyciu identyfikatorów URI. Te identyfikatory URI umożliwiają aplikacjom pobieranie określonych wersji tajemnicy.

  • Bezpieczne przechowywanie sekretów i kluczy: Dostęp do magazynu kluczy wymaga odpowiedniego uwierzytelniania i autoryzacji, zanim podmiot wywołujący (użytkownik lub aplikacja) będzie mógł uzyskać dostęp. Uwierzytelnianie odbywa się za pośrednictwem identyfikatora Entra firmy Microsoft. Autoryzacja może odbywać się za pomocą kontroli dostępu opartej na rolach (RBAC) platformy Azure lub zasad dostępu usługi Key Vault. Kontrola dostępu oparta na rolach platformy Azure może służyć zarówno do zarządzania skarbcami, jak i do dostępu do danych przechowywanych w skarbcu. Zasady dostępu do magazynu kluczy mogą być używane tylko podczas próby uzyskania dostępu do danych przechowywanych w magazynie. Usługa Azure Key Vault może być chroniona przez oprogramowanie lub w warstwie Premium usługi Azure Key Vault chroniona sprzętowo przez sprzętowe moduły zabezpieczeń (HSM).

  • Monitorowanie dostępu i użycia: Możesz monitorować aktywność, włączając rejestrowanie dla sejfów. Masz kontrolę nad dziennikami i możesz je zabezpieczyć, ograniczając dostęp, a także możesz usunąć dzienniki, których nie potrzebujesz. Dzienniki diagnostyczne i metryki usługi Azure Key Vault można skonfigurować tak, aby:

    • Archiwizowanie na koncie magazynowym.
    • Strumieniowe przesyłanie danych do huba zdarzeń.
    • Wyślij dzienniki do dzienników usługi Azure Monitor.

  • pl-PL: uproszczone administrowanie tajemnicami aplikacji: Informacje o zabezpieczeniach muszą być zabezpieczone, zgodne z cyklem życia informacji i wysoce dostępne. Usługa Azure Key Vault upraszcza proces spełnienia tych wymagań przez:

    • Usuwanie konieczności posiadania wiedzy na temat sprzętowych modułów zabezpieczeń
    • Zwiększenie skali w krótkim czasie, aby sprostać wzrostom użycia w organizacji.
    • Replikowanie zawartości usługi Key Vault w regionie i do regionu pomocniczego. Replikacja danych zapewnia wysoką dostępność i eliminuje konieczność wykonania żadnego działania przez administratora w celu wyzwolenia przełączenia awaryjnego.
    • Udostępnianie standardowych opcji administracji platformy Azure za pośrednictwem portalu, interfejsu wiersza polecenia platformy Azure i programu PowerShell.
    • Automatyzowanie niektórych zadań dotyczących certyfikatów zakupionych w publicznych urzędach certyfikacji, takich jak rejestracja i odnawianie.