Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. Cloud-Schlüsselverwaltung

Microsoft Azure-Dienste – Azure Key Vault

Geschrieben vonManimit Haldar 5 Minuten
Azure Key Vault optimiert den Verwaltungsprozess von Geheimnissen, Schlüsseln und Zertifikaten und ermöglicht Ihnen die strikte Kontrolle über Geheimnisse/Schlüssel, die auf Ihre Daten zugreifen und diese verschlüsseln.
Inhaltsverzeichnis

In der heutigen Welt migrieren immer mehr Organisationen zu Cloud-Dienstanbieter um die Vorteile des Cloud Computing zu nutzen, wie Kosteneinsparungen, Sicherheit, Flexibilität, Mobilität und Nachhaltigkeit. Sicherheit ist dabei ein entscheidender Aspekt jedes Cloud-Service-Modells, da sie für alle Cloud-Service-Angebote gilt, die vertrauliche Daten beinhalten.

Heute werden wir das besprechen Key Vault-Dienst von Microsoft Azure im obigen Kontext.

Lassen Sie uns nun die eigentliche Bedeutung von Tresor verstehen – es ist eine Schatzkammer, in der Ihre wertvollen Gegenstände aufbewahrt werden. Wenn wir diese Bedeutung in Bezug auf die Azure Cloud verstehen Welt vermittelt es den richtigen Eindruck, nämlich eine Schatzkammer meiner Schlüssel und Geheimnisse. Es fungiert als zentraler Speicher für alle sensiblen Informationen, die durch Verschlüsselung geheim gespeichert und je nach Berechtigung abgerufen/verwendet werden können.
Um es genauer zu erläutern: Der Microsoft Azure Key Vault-Dienst konzentriert sich auf die Sicherheit der folgenden Themen:

  1. Geheime Verwaltung Mit dem Azure Key Vault-Dienst können Sie Geheimnisse wie Authentifizierungsschlüssel, Speicherkontoschlüssel, Kennwörter, Token, API-Schlüssel, PFX-Dateien und andere Geheimnisse sicher speichern und den Zugriff darauf steuern.
  2. Schlüsselverwaltung Mit dem Azure Key Vault-Dienst können die Verschlüsselungsschlüssel für die Datenverschlüsselung verwaltet werden.
  3. Zertifikatsverwaltung Der Azure Key Vault-Dienst ermöglicht Ihnen die Bereitstellung, Verwaltung und Bereitstellung SSL/TLS-Zertifikate nahtlos für die Verwendung mit integrierten Azure-Diensten.

Da Sicherheit die wichtigste Triebkraft für die Existenz von Azure Key Vault ist, bietet Microsoft die folgenden Stufen für den Schlüsselschutz an:

  1. Standardstufe Verwendet Software-Tresore zum Speichern und Verwalten von kryptografischen Schlüsseln, Geheimnissen, Zertifikaten und Speicherkontoschlüsseln. Dies entspricht FIPS 140-2 Level 2 (Tresore).
  2. Premiumstufe Verwendet ein verwaltetes HSM Pool zum Speichern und Verwalten HSM-gestützter kryptografischer Schlüssel. Dies entspricht FIPS 140-2 Level 3 (verwaltete HSM-Pools).

In Azure Key Vault verwendete Terminologie:

Die Geheime

Ein Geheimnis ist ein kleiner Datenblock (bis zu 10 KB groß), der mithilfe eines Schlüsseltresors zur Autorisierung von Benutzern/Anwendungen verwendet wird. Kurz gesagt: Ein Schlüsseltresor trägt dazu bei, das Risiko zu mindern, das mit der Speicherung von Geheimnissen an einem unsicheren Ort verbunden ist.

Tasten

Schlüssel werden auch zur Autorisierung von Benutzern/Anwendungen verwendet, um beim Aufrufen der kryptografischen Funktionen des Schlüsseltresors beliebige Vorgänge auszuführen. Im Gegensatz zu Geheimnissen verlassen Schlüssel die sicheren Grenzen des Schlüsseltresors nicht.

Key Vault-Besitzer

Ein Administrator, der den Schlüsseltresor erstellt und die Benutzer/Anwendungen für verschiedene authentifizierungsspezifische Vorgänge autorisiert.

Schlüsselbesitzer/Geheimnisbesitzer/Tresornutzer

Ein Administrator, der den Schlüssel/das Geheimnis für den jeweiligen Benutzer/die jeweilige Anwendung besitzt und für die Erstellung des Schlüssels/Geheimnisses im Schlüsseltresor verantwortlich ist. Bitte beachten Sie, dass die Rollen des Schlüsseltresorbesitzers und des Schlüssel-/Geheimnisbesitzers möglicherweise vom selben Administrator verwaltet werden, dies ist jedoch nicht notwendig.

Hauptdienst

Erstellte Identität (Benutzergruppe/Anwendung) zur Verwendung mit Anwendungen für den Zugriff auf Azure-Ressourcen.

Anwendungseigentümer

Ein Administrator, der die Anwendungskonfiguration übernimmt, einschließlich der Authentifizierung gegenüber Azure Active Directory in Form von URI mithilfe von Key Vault.

Anwendung

Eine Anwendung authentifiziert sich mit Hilfe von Schlüsseln/Geheimnissen gegenüber dem Key Vault.

Zugangsrichtlinien

Anweisungen, die dem Dienstprinzipal Zugriff auf Berechtigungen zum Ausführen verschiedener Vorgänge an Schlüsseln/Geheimnissen in Key Vault gewähren.

Maßgeschneiderte Cloud-Schlüsselverwaltungsdienste

Erhalten Sie flexible und anpassbare Beratungsdienste, die auf Ihre Cloud-Anforderungen abgestimmt sind.

Mehr erfahren

Möglichkeiten zum Zugriff auf Schlüssel und Geheimnisse in einem Schlüsseltresor:

  1. Um auf die Schlüssel/Geheimnisse zugreifen zu können, müssen Benutzer/Anwendungen über das gültige Azure Active Directory-Token verfügen, das den Sicherheitsprinzipal mit den entsprechenden Berechtigungen des Ziel-Schlüsseltresors darstellt.
  2. Benutzer/Anwendungen können REST-basierte APIs oder Windows PowerShell verwenden, um Geheimnisse und Schlüssel (nur öffentliche Schlüssel) aus dem Schlüsseltresor abzurufen.

Schritte zum Authentifizieren einer Anwendung mit dem Key Vault:

  1. Die Anwendung, die eine Authentifizierung erfordert, ist bei Azure Active Directory als Dienstprinzipal registriert.
  2. Der Eigentümer/Administrator des Schlüsseltresors erstellt dann einen Schlüsseltresor und fügt die ACLs (Access Control Lists) an den Tresor an, damit die Anwendung darauf zugreifen kann.
  3. Die Anwendung initiiert die Verbindung und authentifiziert sich gegenüber dem Azure Active Directory, um das Token erfolgreich zu erhalten.
  4. Die Anwendung legt dieses Token dann dem Schlüsseltresor vor, um Zugriff zu erhalten.
  5. Der Vault validiert das Token und gewährt nach erfolgreicher Token-Verifizierung Zugriff auf die Anwendung.
Schlüsseltresorstufen


Lassen Sie uns abschließend einige der Vorteile der Verwendung von Azure Key Vault besprechen.

Vorteile der Verwendung von Azure Key Vault:

  1. Da die im Tresor gespeicherten Schlüssel über URIs bereitgestellt werden, wird das Risiko einer versehentlichen Offenlegung und Speicherung von Schlüsseln an unsicheren Orten vermieden.
  2. Aufgrund der Konzeption kann nicht einmal der Anbieter (Microsoft) Kundenschlüssel extrahieren oder sehen, daher ist es auch auf Anbieterebene vollständig geschützt.
  3. Wenn Ihre Organisation Sicherheitskonformität und gleichzeitig den Key Vault benötigt, ist Azure Key Vault eine gute Option, da der Key Vault-Dienst FIPS 140-2 Level 2 (Vault) / FIPS 140-2 Level 3 (Managed HSM Pools)-konform ist.
  4. Details zur Schlüsselverwendung werden protokolliert, sodass die Protokolldaten im Falle einer Schlüsselkompromittierung zu Prüfzwecken verwendet werden können.

Fazit

Azure Key Vault optimiert die Verwaltung von Geheimnissen, Schlüsseln und Zertifikaten und ermöglicht Ihnen die strikte Kontrolle über die Geheimnisse/Schlüssel, die auf Ihre Daten zugreifen und diese verschlüsseln. Dies beschleunigt die gesamte Projektabwicklung, da Entwickler schnell Schlüssel für Entwicklung und Tests erstellen und diese anschließend nahtlos in Produktionsschlüssel migrieren können.

Entdecken Sie unsere

Verwandte Blogs

Microsoft Azure ist einer der drei größten Cloud-Service-Anbieter, die heute von Unternehmen genutzt werden. Die beiden anderen, die hauptsächlich von Unternehmen genutzt werden, sind Amazon Web Services (AWS) und Google Cloud Platform (GCP). Angesichts der aktuellen Lage verlagern viele Unternehmen ihre Dienste auf eine teilweise oder vollständig Cloud-basierte Plattform wie Azure oder AWS.

Wie können Sie mit Microsoft Azure die Produktivität Ihrer Organisationen steigern?

2. Februar 2022
Einführung in das Krypto-Shreddern

Machen Sie sich mit dem neuen Konzept des Crypto-Shredding vertraut

August 20, 2021
Unterschiede zwischen AWS KMS Azure Key Vault und GCP KMS

AWS KMS vs. Azure Key Vault vs. GCP KMS

Juli 23, 2021

Entdecken

Weitere Themen