Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Key Vault является одним из нескольких решений для управления ключами в Azure и помогает решить следующие проблемы:
- Управление секретами. Azure Key Vault обеспечивает безопасное хранение токенов, паролей, сертификатов, ключей API и других секретных сведений со строгим контролем доступа к ним.
- Управление ключами. Azure Key Vault можно использовать как решение по управлению ключами. Эта служба позволяет легко создавать и контролировать ключи шифрования, используемые для шифрования данных.
- Управление сертификатами. С помощью службы Azure Key Vault можно с легкостью подготавливать, администрировать и развертывать общедоступные и частные сертификаты TLS/SSL для использования в Azure и внутренних подключенных ресурсах.
Azure Key Vault предлагает два уровня служб: "Стандартный" (шифруется с использованием программного ключа) и "Премиум" (включает защищенные модулем HSM ключи). Сравнение этих уровней см. на странице цен Azure Key Vault.
Примечание
Нулевое доверие — это стратегия безопасности, состоящая из трех принципов: "Проверка явным образом", "Использование минимального доступа к привилегиям" и "Предполагать нарушение". Защита данных, включая управление ключами, поддерживает принцип "использовать минимальный доступ к привилегиям". Дополнительные сведения см. в разделе "Что такое нулевое доверие"?
Централизованное хранение секретов приложения в Azure Key Vault позволяет управлять их распространением. Key Vault значительно снижает вероятность случайной утечки секретов. Когда разработчики приложений используют Key Vault, они больше не должны хранить сведения о безопасности в своем приложении. Отсутствие необходимости хранить сведения о безопасности в приложениях устраняет потребность включать эти сведения в код. Например, приложению может потребоваться подключиться к базе данных. Вместо хранения строки подключения в коде приложений она безопасно хранится в Key Vault.
Ваши приложения могут безопасно получить необходимые сведения, используя URI. Эти URI позволяют приложениям получить определенные версии секрета. Нет необходимости писать специальный код для защиты любых секретных данных, хранящихся в Key Vault.
Прежде чем вызывающий объект (пользователь или приложение) сможет получить доступ к хранилищу ключей, требуется правильная проверка подлинности и авторизация. Проверка подлинности устанавливает удостоверение вызывающего объекта, а авторизация определяет операции, которые они могут выполнять.
Проверка подлинности выполняется с помощью идентификатора Microsoft Entra. Авторизацию можно выполнить с помощью управления доступом на основе ролей в Azure (Azure RBAC) или политики доступа Key Vault. Azure RBAC можно использовать как для управления хранилищами, так и для доступа к данным, хранящимся в хранилище, а политика доступа к хранилищу ключей может использоваться только при попытке доступа к данным, хранящимся в хранилище.
Хранилища ключей Azure шифруются неактивных с помощью ключа, хранящегося в аппаратных модулях безопасности (HSM). Azure защищает ключи, секреты и сертификаты с помощью стандартных алгоритмов, длины ключей и модулей шифрования программного обеспечения. Для дополнительной гарантии можно создавать или импортировать ключи в HSM (тип RSA-HSM, EC-HSM или OCT-HSM), которые никогда не покидают границу HSM. Azure Key Vault использует проверенные модули шифрования программного обеспечения и HSM с проверкой уровня "Федеральная обработка информации" уровня "Стандартный 140".
Наконец, служба Azure Key Vault разработана таким образом, чтобы корпорация Майкрософт не могла просматривать или извлекать ваши данные.
После создания нескольких хранилищ ключей необходимо отслеживать способ доступа к ключам и секретам. Вы можете отслеживать действия, включив ведение журнала для своих хранилищ. Для Azure Key Vault можно настроить следующее:
- Archive to a storage account (Архивировать в учетной записи хранения).
- Stream to an event hub (Потоковая передача в концентратор событий).
- Отправка журналов в журналы Azure Monitor
У вас есть контроль над журналами, их можно защитить, ограничив доступ. Кроме того, вы можете удалить ненужные журналы.
При хранении ценных данных необходимо выполнить несколько шагов. Информация о безопасности должна быть защищенной, должна соответствовать жизненному циклу и быть высокодоступной. Azure Key Vault упрощает процесс соответствия этим требованиям таким образом:
- Отсутствие необходимости в специальных знаниях об аппаратных модулях безопасности.
- Масштабирование в соответствии с пиками потребления вашей организации.
- Репликацию содержимого Key Vault в рамках региона и в дополнительный регион. Репликация данных обеспечивает высокий уровень доступности и не требует вмешательства администратора для запуска отработки отказа.
- Предоставление стандартных возможностей администрирования через портал, Azure CLI и PowerShell.
- Автоматизацию определенных задач с сертификатами, приобретенными в общедоступных центрах сертификации, например регистрацию и продление срока действия.
Кроме того, Azure Key Vault позволяет разделять секреты приложений. Приложения могут получить доступ только к хранилищу, к которому они разрешены доступ, и они могут быть ограничены только для выполнения определенных операций. Вы можете создать Azure Key Vault для каждого приложения и ограничить секреты, хранящиеся в Key Vault, конкретным приложением и командой разработчиков.
Являясь защищенным хранилищем в Azure, Key Vault используется для упрощения таких сценариев:
- Дисковое шифрование Azure
- Функции Always Encrypted и прозрачное шифрование данных в SQL Server и базе данных SQL Azure
- Служба приложений Azure.
Key Vault можно интегрировать с учетными записями хранения, концентраторами событий и Log Analytics.