Цель перехода к хранилищу ключей Azure

Я новичок в платформе облачных сервисов Azure. Сегодня я наткнулся на сервис хранилища Key-Vault, предоставляемый лазурным. Он имеет возможность хранить ключи и настройки уровня приложения. Это безопасно и надежно с улучшенной защитой данных.

Но я не совсем понимаю, что для подключения к Key-Vault мне нужны артефакты моего Key-Vault, хранящиеся в моей конфигурации приложения.

Если это так, когда кто-то накануне откроет значения ключей, он не подключится к моему хранилищу ключей и не прочитает все мои ключи.

Если мне нужно зашифровать свои локальные настройки Key-Vault, тогда я могу зашифровать и ключи, которые я храню в Vault, верно ?. Какова цель Key-Vault ?.


azure encryption security azure-keyvault protection
person arun thatham    schedule 12.09.2016    source источник

Ответы (3)


arrow_upward
5
arrow_downward

Помимо возможности аутентификации с помощью клиентских сертификатов, которые могут храниться в защищенных хранилищах в отличие от простых паролей, другой момент заключается в том, что Keyvault работает как оракул криптографии. Он хранит ваши ключи и никогда их не выпускает. Если вы хотите выполнить криптографические операции (шифрование, дешифрование и т. Д.), Вы отправляете свои данные в Keyvault, а не получаете от него ключ. Это гарантирует, что даже если злоумышленник (или даже администратор) имеет временный доступ ко всей вашей инфраструктуре, он имеет доступ к вашим данным только в течение ограниченного времени и никогда не сможет получить ваши фактические ключи. Еще одно преимущество состоит в том, что любой доступ можно надлежащим образом проверить.

person Gabor Lengyel    schedule 12.09.2016

arrow_upward
2
arrow_downward

По сути, вы ищете способ подключения к хранилищу ключей Azure. Чтобы приложение могло использовать хранилище ключей, оно должно пройти аутентификацию с использованием токена из Azure Active Directory (AD).

При использовании Azure AD доступны два способа.

  1. Использование ClientId и секрета
  2. Использование ClientId и сертификата

Для вашего требования я бы предложил использовать 2 подхода.

См. Эту статью: Аутентификация клиентского приложения с помощью Хранилище ключей Azure.

person subhasis nayak    schedule 12.09.2016

arrow_upward
0
arrow_downward

Вы можете использовать Azure Managed Identities для доступа к Key Vault, избавившись от необходимости хранить какие-либо ключи локально. Вы назначаете управляемое удостоверение ресурсу Azure на портале, после чего он получает доступ к хранилищу ключей (или другим ресурсам) за кулисами, не раскрывая никаких ключей. https://docs.microsoft.com/en-us/azure/app-service/overview-managed-identity?tabs=dotnet

person Liam Jones    schedule 05.02.2020