一,引言
在介紹 Azure Key Vault 之前,先簡單介紹一下 HSM(硬體安全模組)。
-------------------- 我是分割線 --------------------
1,什麼是硬體安全模組(HSM)?
硬體安全模組 是一種物理計算社保,可以用來保護和管理我們的數字金鑰,用於保護和管理數字金鑰。同樣的,與其他硬體產品一樣,當我們需要的時候,都需要進行採購,安裝,升級,維護,都會設計到費用問題和時間損耗問題。同時,它提供相關密碼學操作的計算機硬體裝置。硬體安全模組一般通過擴充套件卡或外部裝置的形式直接連線到電腦或網路伺服器。
-------------------- 我是分割線 --------------------
1,Azure Kay Vault(一).NET Core Console App 獲取金鑰保管庫中的機密資訊
2,Azure Key Vault(二)- 入門簡介
這個時候就體現出 Key Vault 的優勢了,Azure Key Vault 提供了和 HSM 一樣的資料保護的安全機制,同時作為一項 Azure 服務,無需我們進行維護和升級,
二,正文
1,Azure Key Vault 的用途
Azure Key Vault 中儲存的任何內容都使用行業標準演算法、HSM 和金鑰長度進行保護。HSM 已通過聯邦資訊處理標準 (FIPS) 的 2 級驗證。Microsoft 提供了可以安全訪問 HSM 裝置的介面。為了更加確保金鑰的完整性,您可以在 HSM 中生成它。Microsoft 無法訪問或提取您的金鑰。應用程式也無法直接訪問金鑰。相反,您必須使用 Azure CLI、Portal 或 PowerShell 作為介面。
Azure Key Vault 可用於金鑰管理,因為它可以輕鬆建立和控制用於加密金鑰的加密金鑰。它還可以用於證書管理,使您能夠輕鬆配置、管理和部署安全套接字層/傳輸層安全性 (SSL/TLS)。
Azure Key Vault 支援三種型別的資料,包括:
1)Secrets:這些是 25KB 或更小的值。它們被寫入和讀取,並可用於儲存密碼、訪問金鑰或 SQL 連線字串。
2)Keys:這些將寫入金鑰保管庫,但無法匯出。它們用於加密和雜湊生成。即使使用金鑰,也可以將其配置為不離開 HSM,而是將所需的密碼操作傳送到金鑰保管庫服務並返回結果。
3)Data:敏感資訊也可以儲存在 Azure Key Vault 中。
當應用程式機密集中儲存在 Azure Key Vault 中時,可以更輕鬆地控制其分發。應用程式開發人員不再需要在他們的應用程式中儲存安全資訊,因此他們不再需要將此資訊作為程式碼的一部分。
2,它是如何進行工作的?
訪問金鑰保管庫需要適當的身份驗證和授權,然後呼叫方(使用者或應用程式)才能獲得訪問許可權。身份驗證確定呼叫者的身份,而授權確定允許他們執行的操作。
Azure Key Vault 還允許您隔離應用程式機密。您可以將應用程式訪問限制在您允許的保管庫;
- 對於金鑰:建立、匯入、獲取、列出、備份、還原、刪除、更新、簽名、驗證、包裝、解包、加密和解密 等
- 對於祕密:建立、更新、獲取、列出、刪除 等
- 對於證書:建立、更新策略、聯絡人、匯入、更新、更新 等
如下圖所示
3,Azure Key Vault 是如何管理的
Azure Key Vault 允許通過 REST、CLI、PowerShell 和 Azure 資源管理器進行 Key Vault 管理。新增到 Azure Key Vault 的所有金鑰和機密都有自己的 URL。應用程式可以使用 URL 訪問它們需要的金鑰,因此無需編寫程式碼來保護機密資訊。Key Vault 還具有日誌記錄功能。這使得可以監視何時以及誰訪問了 Key Vault 的內容。訪問日誌儲存在 Azure 儲存帳戶中。
- 它可以在需要時快速擴充套件。
- 您可以將 Key Vault 的內容在一個區域內複製到另一個區域以提高可用性。
- 可以通過門戶、Azure CLI 和 PowerShell 輕鬆訪問它。
- 一些與證書相關的任務可以自動化。
三,結尾
Key Vault 的整合可用於簡化 Azure 資料加密,這是 Azure SQL 資料庫中始終加密的功能。Key Vault 還可以與儲存帳戶、日誌分析和事件中心整合。本文所分享的內容也存在著很多我自己的一些理解,有理解不到位的,還包含,並且指出不足之處!!!!!
作者:Allen
版權:轉載請在文章明顯位置註明作者及出處。如發現錯誤,歡迎批評指正。