Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Cloud Key Management

Microsoft Azure-tjänster – Azure Key Vault

Postat avManimit Haldar 5 minuter
Azure Key Vault effektiviserar hanteringsprocessen för hemligheter, nycklar och certifikat och gör att du kan upprätthålla strikt kontroll över hemligheter/nycklar som kommer åt och krypterar dina data.
Innehållsförteckning

I dagens värld ser vi fler och fler organisationer som migrerar till Molntjänstleverantörer för att få de fördelar som är förknippade med molntjänster, såsom kostnadsbesparingar, säkerhet, flexibilitet, mobilitet och hållbarhet. Av dessa är säkerhet en kritisk aspekt av alla molntjänstmodeller, eftersom den är tillämplig på alla molntjänsterbjudanden som involverar känsliga data.

Idag diskuterar vi Microsoft Azures Key Vault-tjänst i ovanstående sammanhang.

Låt oss nu förstå den faktiska betydelsen av valv – det är en skattkammare som används för att lagra dina värdefulla föremål. När vi förstår denna betydelse med hänvisning till Azure Cloud världen, det ger rätt intryck, dvs. en skattkammare av mina nycklar och hemligheter. Det fungerar som central lagring för all känslig information som kan lagras i hemlighet via kryptering och kan hämtas/användas baserat på behörigheter.
För att utveckla ytterligare fokuserar Microsoft Azure Key Vault-tjänsten på säkerheten för följande ämnen:

  1. Hemlig förvaltning Azure Key Vault-tjänsten kan användas för att säkert lagra och kontrollera åtkomst till hemligheter, till exempel autentiseringsnycklar, lagringskontonycklar, lösenord, tokens, API-nycklar, .pfx-filer och andra hemligheter.
  2. Nyckelhantering Azure Key Vault-tjänsten kan användas för att hantera krypteringsnycklarna för datakryptering.
  3. Certifikathantering Med Azure Key Vault-tjänsten kan du etablera, hantera och distribuera SSL/TLS-certifikat sömlöst för användning med integrerade Azure-tjänster.

Säkerhet är den primära drivkraften bakom Azure Key Vaults existens och erbjuder därför följande nivåer baserat på nyckelskydd:

  1. Standardnivå Använder programvaruvalv för att lagra och hantera kryptografiska nycklar, hemligheter, certifikat och lagringskontonycklar. Detta är kompatibelt med FIPS 140-2 nivå 2 (valv).
  2. Premium -nivå Använder en hanterad HSM Pool för lagring och hantering av HSM-baserade kryptografiska nycklar. Detta är kompatibelt med FIPS 140-2 nivå 3 (hanterade HSM-pooler).

Terminologi som används i Azure Key Vault:

Secret

En hemlighet är en liten datablob (upp till 10 KB stor) som används för att auktorisera användare/program med hjälp av en Key Vault. Kort sagt hjälper Key Vault till att minska risken i samband med lagring av hemligheter på en osäker plats.

Nycklar

Nycklar används också för att auktorisera användare/program för att utföra åtgärder samtidigt som de kryptografiska funktionerna i Key Vault anropas. Till skillnad från hemligheter lämnar inte nycklar Key Vaults säkra gränser.

Ägare av nyckelvalvet

En administratör som skapar Key Vault och auktoriserar användare/program för olika autentiseringsspecifika åtgärder.

Nyckelägare/Hemlig ägare/Valvkonsument

En administratör som äger nyckeln/hemligheten för den specifika användaren/applikationen och ansvarar för att skapa nyckeln/hemligheten i Key Vault. Observera att rollerna Key Vault-ägare och nyckel-/hemlighetsägare kan hanteras av samma administratör, men det är inte nödvändigt.

Huvudtjänst

Identitet skapad (användargrupp/program) för användning med program för att komma åt Azure-resurser.

Applikationsägare

En administratör som hanterar programkonfigurationen, inklusive autentisering mot Azure Active Directory i form av URI med hjälp av Key Vault.

Ansökan

Ett program autentiserar sig självt från Key Vault med hjälp av nycklar/hemligheter.

Åtkomstpolicy

Instruktioner som ger åtkomst till tjänstens huvudnamn behörighet att utföra olika åtgärder på nycklar/hemligheter i Key Vault.

Skräddarsydda molnnyckelhanteringstjänster

Få flexibla och anpassningsbara konsulttjänster som anpassas till dina molnbehov.

Läs mer

Sätt att komma åt nycklar och hemligheter i ett nyckelvalv:

  1. För att komma åt nycklarna/hemligheterna måste användare/program ha en giltig Azure Active Directory-token som representerar säkerhetsprincipen med lämpliga behörigheter för målnyckelvalvet.
  2. Användare/program kan använda REST-baserade API:er eller Windows PowerShell för att hämta hemligheter och nycklar (endast offentliga nycklar) från Key Vault.

Steg för att autentisera ett program med Key Vault:

  1. Programmet som behöver autentisering är registrerat med Azure Active Directory som ett tjänsteprincipal.
  2. Ägaren/administratören av nyckelvalvet skapar sedan ett nyckelvalv och kopplar sedan ACL:erna (åtkomstkontrollistor) till valvet så att programmet kan komma åt det.
  3. Programmet initierar anslutningen och autentiserar sig själv mot Azure Active Directory för att hämta token.
  4. Programmet presenterar sedan denna token för Key Vault för att få åtkomst.
  5. Vault validerar token och beviljar åtkomst till applikationen baserat på lyckad tokenverifiering.
steg för nyckelvalv


Låt oss slutligen diskutera några av fördelarna med att använda Azure Key Vault.

Fördelar med att använda Azure Key Vault:

  1. Eftersom nycklarna som sparas i valvet kommer att hanteras via URI:er, undviker detta risken för oavsiktlig exponering och lagring av nycklar på osäkra platser.
  2. Genom designen kan inte ens leverantören (Microsoft) extrahera eller se kundnycklar, därför är den helt skyddad även på leverantörsnivå.
  3. Om din organisation behöver säkerhetsefterlevnad samtidigt som den kräver Key Vault är Azure Key Vault ett bra alternativ, eftersom Key Vault-tjänsten är kompatibel med FIPS 140-2 nivå 2 (valv)/FIPS 140-2 nivå 3 (hanterade HSM-pooler).
  4. Information om nyckelanvändning loggas, så loggdata kan användas för granskningsändamål i händelse av en nyckelkomprometterad situation.

Slutsats

Azure Key Vault effektiviserar hanteringsprocessen för hemligheter, nycklar och certifikat och gör att du kan upprätthålla strikt kontroll över hemligheter/nycklar som kommer åt och krypterar dina data. Detta påskyndar den övergripande projektleveransen genom att utvecklare snabbt kan skapa nycklar för utveckling och testning och sedan sömlöst migrera dem till produktionsnycklar.

Upptäck vår

Relaterade bloggar

Microsoft Azure är en av de tre största molntjänstleverantörerna som används av organisationer idag. De andra två som huvudsakligen används av organisationer är Amazon Web Services (AWS) och Google Cloud Platform (GCP). I det rådande läget i världen flyttar många företag sina tjänster till en delvis eller helt molnbaserad plattform som Azure eller AWS.

Hur kan du göra organisationer mer nöjda med Microsoft Azure?

Februari 2, 2022
Introduktion till kryptoförstöring

Bekanta dig med det nya konceptet kryptoförstöring

August 20, 2021

Skillnader mellan AWS KMS Azure Key Vault och GCP KMS

AWS KMS kontra Azure Key Vault kontra GCP KMS

July 23, 2021

Utforska

Fler ämnen