Azure Key Vault:数字密钥管理的云解决方案

在数字时代,数据安全的重要性日益凸显。为了保护敏感信息,需要一种设备来安全地管理和保护数字密钥。硬件安全模块(HSM)就是这样一种设备,它提供了审计、防篡改和加密等功能。然而,硬件设备的采购、安装、升级和维护都需要成本和工作量。这时,Azure Key Vault应运而生,它提供了HSM的安全性,却无需用户亲自进行设置和维护。

Azure Key Vault的用途

Azure Key Vault使用行业标准的算法、HSM和密钥长度来保护存储在其内部的所有内容。这些HSM通过了联邦信息处理标准(FIPS)的二级验证。微软提供了一个安全的接口,让用户可以安全地访问HSM设备。为了进一步确保密钥的完整性,用户甚至可以在HSM内部生成密钥。微软无法访问或提取密钥,应用程序也无法直接访问密钥。相反,需要使用Azure命令行界面(CLI)、门户或PowerShell作为接口。

Azure Key Vault简化了创建和管理用于加密数据的密钥的过程。它还可以用于证书管理,使可以轻松地提供、管理和部署安全套接字层/传输层安全(SSL/TLS)。

Azure Key Vault支持三种类型的数据:

  • 机密:这些是25KB或更小的值。它们被写入和读取,可以用来存储密码、访问密钥或SQL连接字符串。
  • 密钥:这些被写入密钥库,但不能导出。它们用于加密和哈希生成。即使在使用密钥时,也可以配置为不离开HSM,而是将所需的密码操作发送到密钥库服务,并将结果返回。
  • 数据:敏感信息也可以存储在Azure Key Vault中。

当应用程序的机密在Azure Key Vault中集中存储时,可以更容易地控制它们的分发。应用程序开发者不再需要将安全信息存储在应用程序中,因此也不需要将这些信息作为代码的一部分。

工作原理

除非用户或应用程序具有适当的身份验证和授权,否则无法访问Azure Key Vault。身份验证通过Azure Active Directory进行,以建立调用者的身份。授权决定了调用者被允许执行的操作。授权可以使用基于角色的访问控制(RBAC)或密钥库访问策略来完成。

在调用者(用户或应用程序)可以访问密钥库之前,需要进行适当的身份验证和授权。身份验证建立调用者的身份,而授权确定他们被允许执行的操作。

Azure Key Vault还允许隔离应用程序机密。可以限制应用程序仅访问允许的库;例如,可以为每个特定应用程序及其开发团队创建一个密钥库。

支持的操作

对于密钥:

  • 创建
  • 导入
  • 获取
  • 列出
  • 备份
  • 恢复
  • 删除
  • 更新
  • 签名
  • 验证
  • 包装
  • 解包
  • 加密
  • 解密

对于机密:

  • 创建
  • 更新
  • 获取
  • 列出
  • 删除

对于证书:

  • 创建
  • 更新策略
  • 联系人
  • 导入
  • 续订
  • 更新

管理方式

可以通过REST、CLI、PowerShell和Azure资源管理器来管理Key Vault。所有添加到Azure Key Vault的密钥和机密都有自己的URL。应用程序可以通过使用URL来访问它们需要的密钥,因此无需编写代码来保护秘密信息。Key Vault还具有日志记录功能。这使得可以监控何时以及谁访问了Key Vault的内容。访问日志被保存到Azure存储帐户中。

有价值的数据必须得到保护,同时也必须是高度可用的。使用Azure Key Vault简化了许多需要保护机密的管理工作。

  • 在需要时可以快速扩展。
  • 可以在区域内复制密钥库的内容,并将其复制到另一个区域以提高可用性。
  • 可以通过门户、Azure CLI和PowerShell轻松访问。
  • 与证书相关的一些任务可以自动化。

与其他Azure服务的集成

Key Vault可以用来简化Azure数据加密,Azure SQL数据库中的始终加密功能。Key Vault还可以与存储帐户、日志分析和事件中心集成。

沪ICP备2024098111号-1
上海秋旦网络科技中心:上海市奉贤区金大公路8218号1幢 联系电话:17898875485