Informationen zu Azure Key Vault
Azure Key Vault ist eine von mehreren wichtigen Verwaltungslösungen in Azure und hilft bei der Lösung der folgenden Probleme:
- Geheimnisverwaltung: Azure Key Vault ermöglicht die sichere Speicherung und präzise Steuerung des Zugriffs auf Token, Kennwörter, Zertifikate, API-Schlüssel und andere Geheimnisse.
- Schlüsselverwaltung: Azure Key Vault kann als Schlüsselverwaltungslösung verwendet werden. Azure Key Vault vereinfacht das Erstellen und Verwalten der zur Verschlüsselung Ihrer Daten verwendeten Verschlüsselungsschlüssel.
- Zertifikatverwaltung: Sie können mit dem Azure Key Vault-Dienst komfortabel öffentliche und private SSL-/TLS-Zertifikate (Secure Sockets Layer/Transport Layer Security) für die Verwendung mit Azure und Ihren internen verbundenen Ressourcen bereitstellen und verwalten.
Azure Key Vault verfügt über zwei Dienstebenen: Die Dienstebene „Standard“ verschlüsselt mit einem Softwareschlüssel, und die Dienstebene „Premium“ enthält durch HSM (Hardwaresicherheitsmodul) geschützte Schlüssel. Einen Vergleich zwischen den Ebenen „Standard“ und „Premium“ finden Sie auf der Seite Azure Key Vault – Preise.
Hinweis
Zero Trust ist eine Sicherheitsstrategie, die drei Prinzipien umfasst: „Explizit überprüfen“, „Zugriff mit geringsten Berechtigungen verwenden“ und „Von einer Verletzung ausgehen“. Der Datenschutz, einschließlich der Schlüsselverwaltung, unterstützt das Prinzip „Zugriff mit den geringsten Rechten verwenden“. Weitere Informationen finden Sie unter Was ist Zero Trust?
Gründe für die Verwendung von Azure Key Vault
Zentralisieren von Anwendungsgeheimnissen
Durch die zentralisierte Speicherung von Anwendungsgeheimnissen in Azure Key Vault können Sie deren Verteilung steuern. Mit Key Vault lässt sich das Risiko einer unbeabsichtigten Weitergabe von Geheimnissen erheblich senken. Wenn Anwendungsentwickler Key Vault verwenden, müssen Sie Sicherheitsinformationen nicht mehr in ihrer Anwendung speichern. Wenn Sicherheitsinformationen nicht mehr in Anwendungen gespeichert werden müssen, entfällt die Notwendigkeit, diese Informationen in den Code einzubinden. Ein Beispiel: Angenommen, eine Anwendung muss eine Verbindung mit einer Datenbank herstellen. Anstatt die Verbindungszeichenfolge im App-Code zu speichern, können Sie diese sicher in Key Vault speichern.
Ihre Anwendungen können mithilfe von URIs sicher auf benötigte Informationen zugreifen. Diese URIs bieten den Anwendungen die Möglichkeit, bestimmte Versionen eines geheimen Schlüssels abzurufen. Sie müssen keinerlei benutzerdefinierten Code schreiben, um die geheimen Informationen zu schützen, die in Key Vault gespeichert sind.
Sicheres Speichern von Geheimnissen und Schlüsseln
Ein Aufrufer (Benutzer oder Anwendung) kann erst nach ordnungsgemäßer Authentifizierung und Autorisierung auf einen Schlüsseltresor zugreifen. Bei der Authentifizierung wird die Identität des Aufrufers festgestellt, während bei der Autorisierung die Vorgänge bestimmt werden, welche die Aufrufer ausführen dürfen.
Die Authentifizierung erfolgt über Microsoft Entra ID. Für die Autorisierung kann die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) oder eine Key Vault-Zugriffsrichtlinie verwendet werden. Azure RBAC kann sowohl für die Verwaltung der Tresore als auch für den Zugriff auf in einem Tresor gespeicherte Daten verwendet werden. Die Schlüsseltresor-Zugriffsrichtlinie kann hingegen nur verwendet werden, wenn versucht wird, auf in einem Tresor gespeicherte Daten zuzugreifen.
Azure Key Vaults kann entweder durch Software geschützt oder mit der Azure Key Vault-Ebene „Premium“ durch Hardwaresicherheitsmodule (HSMs) per Hardware geschützt sein. Durch Software geschützte Schlüssel, Geheimnisse und Zertifikate werden von Azure mithilfe von branchenüblichen Algorithmen und Schlüssellängen geschützt. In Szenarien mit erhöhten Sicherheitsanforderungen können Sie Schlüssel in Hardwaresicherheitsmodule (HSMs) importieren oder darin generieren. Diese Schlüssel bleiben immer innerhalb der HSM-Grenzen. Azure Key Vault verwendet nach Federal Information Processing Standard 140 validierte HSMs. Sie können hsM-Anbieter bereitgestellte Tools verwenden, um einen Schlüssel von Ihrem HSM in Azure Key Vault zu verschieben.
Schließlich ist Azure Key Vault so konzipiert, dass Microsoft Ihre Daten nicht anzeigt oder extrahiert.
Überwachen von Zugriff und Verwendung
Nachdem Sie einige Key Vault-Instanzen erstellt haben, sollten Sie überwachen, wie und wann auf Ihre Schlüssel und Geheimnisse zugegriffen wird. Durch das Aktivieren der Protokollierung für Ihre Tresore können Sie Aktivitäten überwachen. Azure Key Vault kann für Folgendes konfiguriert werden:
- Archivieren in einem Speicherkonto
- Streamen an einen Event Hub
- Senden der Protokolle an Azure Monitor-Protokolle
Sie haben die Kontrolle über Ihre Protokolle: Sie können den Zugriff auf Protokolle einschränken, um sie zu schützen, und Sie können nicht mehr benötigte Protokolle löschen.
Einfachere Verwaltung von Anwendungsgeheimnissen
Beim Speichern wertvoller Daten sind mehrere Punkte zu berücksichtigen: Sicherheitsinformationen müssen geschützt, hochverfügbar und mit einem für sie festgelegten Lebenszyklus versehen sein. Azure Key Vault vereinfacht das Erfüllen dieser Anforderungen durch:
- Beseitigung des Bedarfs für interne Kenntnisse von Hardware-Sicherheitsmodellen
- Kurzfristiges Hochskalieren zur Verarbeitung von Auslastungsspitzen Ihrer Organisation
- Replikation des Inhalts Ihrer Key Vault-Instanz innerhalb einer Region und in einer sekundären Region. Die Datenreplikation gewährleistet die Hochverfügbarkeit der Informationen, und ein Failover kann ganz ohne Eingriff des Administrators ausgelöst werden.
- Bereitstellung standardmäßiger Azure-Verwaltungsoptionen über das Portal, die Azure-Befehlszeilenschnittstelle und PowerShell
- Automatisierung bestimmter Aufgaben im Zusammenhang mit Zertifikaten, die Sie von öffentlichen Zertifizierungsstellen erwerben (z.B. Registrierung und Verlängerung)
Darüber hinaus können Azure Key Vault-Instanzen auch zur Isolierung von Anwendungsgeheimnissen verwendet werden. Anwendungen können nur auf den Tresor zugreifen, für den sie eine Zugriffsberechtigung haben, und sie können darauf beschränkt werden, nur bestimmte Vorgänge auszuführen. Sie können eine Azure Key Vault-Instanz pro Anwendung erstellen und die in einer Key Vault-Instanz gespeicherten Geheimnisse auf eine bestimmte Anwendung und ein bestimmtes Entwicklerteam beschränken.
Integrieren in andere Azure-Dienste
Als sicherer Speicher in Azure wurde Key Vault u. a. zur Vereinfachung folgender Szenarien verwendet:
- Azure-Datenträgerverschlüsselung
- Die Funktionen Immer verschlüsselt und Transparent Data Encryption in SQL Server und Azure SQL-Datenbank
- Azure App Service.
Key Vault selbst kann in Speicherkonten, Event Hubs und Protokollanalysen integriert werden.