Azure Key Vault 概述

介绍 - 从硬件到云！

硬件安全模块 (HSM) 是一种物理计算设备，用于保护和管理数字密钥。 当安全性很重要时，会使用它们，并包含诸如审计、防篡改和加密等功能。 但是，与所有硬件设备一样，采购、安装、升级和维护 HSM 涉及费用和工作量。 这就是 Azure Key Vault 的用武之地。 它提供了 HSM 的安全性，但无需设置或维护它。

Azure Key Vault 用于什么？

在 Azure Key Vault 中存储的任何内容都使用行业标准算法、HSM 和密钥长度进行保护。 HSM 经过联邦信息处理标准 (FIPS) 的 2 级验证。 微软提供了您可以安全访问 HSM 设备的接口。 为了进一步确保密钥的完整性，您可以在 HSM 内部生成它。 微软无法访问或提取您的密钥。 应用程序也无法直接访问密钥。 而是，您必须使用 Azure CLI、门户或 PowerShell 作为接口。
Azure Key Vault 可用于密钥管理，因为它使创建和控制用于加密密钥的加密密钥变得容易。 它也可用于证书管理，使您能够轻松地配置、管理和部署安全套接字层/传输层安全 (SSL/TLS)。
Azure Key Vault 支持三种类型的数据，包括

• 机密。 这些是 25KB 或更少的值。 它们被写入和读取，可用于存储密码、访问密钥或 SQL 连接字符串。
• 密钥。 它们被写入密钥库，但不能导出。 它们用于加密和哈希生成。 即使使用了密钥，也可以将其配置为不离开 HSM，而是将所需的密码操作发送到密钥库服务并返回结果。
• 数据。 敏感信息也可以存储在 Azure Key Vault 中。

当应用程序机密集中存储在 Azure Key Vault 中时，更容易控制它们的分布。 应用程序开发人员不再需要在其应用程序中存储安全信息，因此他们不再需要将此信息作为代码的一部分。

它是如何工作的？

除非具有适当的身份验证和授权，否则任何人（用户或应用程序）都无法访问 Azure Key Vault。 调用者的身份是通过身份验证建立的。 这是通过 Azure Active Directory 完成的。 授权确定调用者可以执行的操作。 授权可以使用基于角色的访问控制 (RBAC) 或 Key Vault 访问策略来完成。

访问密钥库需要在调用者（用户或应用程序）获得访问权限之前进行适当的身份验证和授权。 身份验证建立调用者的身份，而授权确定他们被允许执行的操作。

Azure Key Vault 还允许您分隔应用程序机密。 您可以将应用程序的访问权限限制为您允许的库； 例如，您可以为每个特定应用程序及其开发团队创建一个 Key Vault。

支持哪些类型的操作？

• 对于密钥：创建、导入、获取、列出、备份、恢复、删除、更新、签名、验证、包装、解包、加密和解密
• 对于机密：创建、更新、获取、列出、删除
• 对于证书：创建、更新策略、联系人、导入、续订、更新

如何管理 Azure Key Vault？

Key Vault 管理允许通过 REST、CLI、PowerShell 和 Azure 资源管理器进行。 添加到 Azure Key Vault 的所有密钥和机密都有自己的 URL。 应用程序可以通过使用 URL 访问它们需要的密钥，因此无需编写代码来保护机密信息。 Key Vault 也有日志记录功能。 这使得可以监视何时以及谁访问了 Key Vault 的内容。 访问日志将保存到 Azure 存储帐户中。

简化管理

有价值的数据必须受到保护，但也必须具有高可用性。 使用 Azure Key Vault 简化了确保机密安全所需的大量管理工作。

• 它可以在需要时快速扩展。
• 您可以在一个区域内将密钥库的内容复制到另一个区域以提高可用性。
• 可以通过门户、Azure CLI 和 PowerShell 轻松访问它。
• 某些与证书相关的任务可以自动化。

与其他 Azure 服务的集成

Key Vault 可用于简化 Azure 数据加密、Azure SQL 数据库中的始终加密功能。 Key Vault 还可以与存储帐户、日志分析和事件中心集成。

历史

• 2018 年 11 月 10 日：版本 1