Azure Key Vault (1) 入门

  《Windows Azure Platform 系列文章目录

  为什么要使用Azure Key Vault?

  我们假设在微软云Azure上有1个场景,在Windows VM里面有1个.NET应用程序,这个.NET应用程序通过ADO.NET链接字符串,链接到后端的SQL VM。

  如果Windows VM被黑客攻击了,那么黑客在查看ADO.NET的SQL链接字符串,就可以通过里面保存的用户名和密码,直接访问到后端的SQL VM。

  这样SQL VM也被黑客攻击了。

  如果我们针对SQL链接字符串进行加密和访问控制,我们就可以保护好SQL VM里面的数据库

  什么是Key Vault (秘钥保管库)?

  Azure Key Vault可以管理:

  1.密码管理

  Azure Key Vault 可以用来安全地存储令牌、密码、证书、API 密钥和其他机密,并对其访问进行严格控制

  2.证书管理

  Azure Key Vault可以用来管理和部署SSL/TLS证书,这些证书可以与Azure其他服务一起使用,比如CDN使用HTTPS证书

  哪些场景下要使用Azure Key Vault

  1.集中管理应用程序机密

  在 Azure Key Vault 中集中存储应用程序机密就可以控制其分发。 Key Vault 可以大大减少机密意外泄露的可能性。 有了 Key Vault,应用程序开发人员就再也不需要将安全信息存储在应用程序中。 无需将安全信息存储在应用程序中,因此也无需将此信息作为代码的一部分。 例如,如果某个应用程序需要连接到数据库, 则可将连接字符串安全地存储在 Key Vault 中,而不是存储在应用代码中。

  应用程序可以使用 URI 安全访问其所需的信息。 这些 URI 允许应用程序检索特定版本的机密。 这样就不需编写自定义代码来保护存储在 Key Vault 中的任何机密信息。

  

  2.安全地存储机密和密钥
  机密和密钥由 Azure 使用行业标准的算法、密钥长度和硬件安全模块 (HSM) 进行保护。 使用的 HSM 是经验证的联邦信息处理标准 (FIPS) 140-2 级别 2。

  访问密钥保管库需要适当的身份验证和授权,否则调用方(用户或应用程序)无法进行访问。 身份验证用于确定调用方的身份,而授权则决定了调用方能够执行的操作。

  身份验证通过 Azure Active Directory 来完成。 授权可以通过基于角色的访问控制 (RBAC) 或 Key Vault 访问策略来完成。 进行保管库的管理时,使用 RBAC;尝试访问存储在保管库中的数据时,使用密钥保管库访问策略。

  可以对 Azure Key Vault 进行软件或硬件 HSM 保护。 如果需要提高可靠性,可以在硬件安全模块 (HSM) 中导入或生成永不超出 HSM 边界的密钥。 Microsoft 使用 nCipher 硬件安全模块。 你可以使用 nCipher 工具将密钥从 HSM 移动到 Azure Key Vault。

  最后需要指出的是,根据 Azure Key Vault 的设计,Microsoft 无法查看或提取数据。

  

  3.监视访问和使用情况

  创建多个 Key Vault 以后,需监视用户对密钥和机密进行访问的方式和时间。 可以通过启用保管库的日志记录来监视活动。 可以将 Azure Key Vault 配置为执行以下操作:

  •   存档到存储帐户。
  •   流式传输到事件中心。
  •   将日志发送到 Azure Monitor 日志。

  可以控制自己的日志,可以通过限制访问权限来确保日志的安全,还可以删除不再需要的日志。

  

  4.简化应用程序机密的管理

  存储有价值的数据时,必须执行多项步骤。 安全信息必须受到保护,必须遵循某个生命周期,必须高度可用。 Azure Key Vault 可通过以下操作简化满足这些要求的过程:

  •   无需内部硬件安全模块知识
  •   收到通知后很快就可以进行纵向扩展,满足组织的使用高峰需求。
  •   在某个区域内复制 Key Vault 的内容,并将其复制到次要区域。 数据复制可确保高可用性,不需管理员操作即可触发故障转移。
  •   通过门户、Azure CLI 和 PowerShell 提供标准的 Azure 管理选项。
  •   针对从公共 CA 购买的证书自动执行某些任务,如注册和续订。

  另外,还可以通过 Azure Key Vault 来隔离应用程序机密。 应用程序只能访问其有权访问的保管库,并且只能执行特定的操作。 可以为每个应用程序创建一个 Azure Key Vault,仅限特定的应用程序和开发人员团队访问存储在 Key Vault 中的机密。

  5.与其他 Azure 服务集成
  作为 Azure 中的安全存储,Key Vault 已用于简化如下方案:

  • Azure 磁盘加密
  • SQL 服务器和 Azure SQL 数据库的始终加密功能
  • Azure 应用服务。

  Key Vault 本身可以与存储帐户、事件中心和 Log Analytics 集成。

原文地址:https://www.cnblogs.com/threestone/p/10956354.html

时间: 2024-11-01 13:18:11

Azure Key Vault (1) 入门的相关文章

Azure Key Vault (2) 使用Azure Portal创建和查看Azure Key Vault

<Windows Azure Platform 系列文章目录> 请注意: 文本仅简单介绍如何在Azure Portal创建和创建Key Vault,如果需要结合Application做二次开发,请参考后续的文章 本章将介绍通过Azure Portal创建和查看Azure Key Vault. 1.登录https://portal.azure.cn 2.搜索Key Vault,然后创建 3.输入Key Vault有关信息 4.创建完毕后,点击Secrets,点击+Generate/Import

ASP.NET Core Web Api配置Azure Key Vault

1. 项目创建 1.1 安装 下载.NETCORE SDK 进行安装 下载NETCORE RUNTIME进行安装. 下载Runtime & Hosting Bundle进行安装 下载地址:https://dotnet.microsoft.com/download/dotnet-core 微软的安装在windows方面很简单,基本就是一键安装. 1.2 开发工具 VisualStudio 2019 1.3建立项目工程 点击文件创建项目,出现如下图示 选择画红圈部分,接着出现如下图示 2. Azur

windows phone开发-windows azure mobile service使用入门

在使用azure之前,我一直只能做本地app,或者使用第三方提供的api,尽管大多数情况下够用,但是仍不能随心所欲操纵数据,这种感觉不是特别好.于是在azure发布后,我就尝试使用azure来做为个人数据中心,可选的方式有很多,但今天我给大家介绍的是azure mobile service. 1.创建Mobile Service Azure中创建Mobile Service很简单,与创建其他项目类似,流程如下: i. ii. iii. ii 这里我使用的是Windows Azure国际版,经过简

免费电子书:Azure Web Apps开发者入门

(此文章同时发表在本人微信公众号"dotNET每日精华文章",欢迎右边二维码来关注.) 题记:之前介绍过微软正在逐步出版一个名为Azure Essential的入门系列教程,最近刚刚推出了一本向开发者介绍Web Apps的电子书. Microsoft Azure提供了大量的功能,而Azure Web Apps(之前称之为WebSite)是最常用也是最易用的一个功能,它能够让你快速地把Web应用程序上线.Azure Web Apps不但支持.NET,使用Java.Node.js.PHP和

Azure Blob Storage从入门到精通

今天推荐的是一个系列文章,让读者阅读完成后可以对Azure Blob Storage的开发有一个全面的了解,可谓是从入门到精通. Azure在最初的版本里面就提供了非结构化数据的存储服务,也即Blob Storage.其是Azure中非常重要和基础的一项服务,支撑着很多其他服务的运行(比如虚拟机等).前不久Azure出现故障,就是Blob Storage导致的. Robin Shahan(女程序猿)发表了一个系列文章,全面的介绍Azure Blob Storage的开发.这个系列文章分为10个部

Azure Redis Cache (1) 入门

<Windows Azure Platform 系列文章目录> Microsoft Azure Redis Cache基于流行的开源Redis Cache. 1.功能 Redis 是一种高级的键值存储,其中,键可以包含数据结构,例如字符串.哈希.列表.集合和有序集合.Redis 支持针对这些数据类型的一组原子操作. Redis 还支持设置简单的主-从复制,具有非常快的非首先阻止同步.网络分割时自动重新连接等. 其他功能包括事务.发布/订阅.Lua 脚本.具有有限生存时间的键和配置设置,使 Re

使用 Microsoft Azure 架设 PHP 网站入门(繁体中文视频)

使用 Microsoft Azure 架設 PHP 網站入門 https://channel9.msdn.com/Series/Deploying-PHP-Websites-on-Microsoft-Azure-Web-Sites-JumpStart 视频可能没法直接看,不过可以下载mp4 只做优秀知识的搬运工

Azure PowerShell (1) PowerShell入门

<Windows Azure Platform 系列文章目录> 2014-09-30:把之前关于Azure PowerShell的内容重新整理了一下. 我们知道,我们可以通过以下三种方式管理Windows Azure: Azure Management Portal,特点是简单直观 Azure REST API,特点是可以通过调用REST API来实现云端的开发 Azure PowerShell,特点是可以批量操作 大家可以想象一下,如何在短时间内需要申请200个虚拟机,使用Azure Man

Azure 证书自动化管理解决方案

节前不打烊,以此小文提前预祝大家鼠年大吉.最近和小伙伴们沟通发现,经常有系统出现证书过期的问题,究其原因主要是1. 证书后台自动 renew 了但是系统并没有及时更新 2. 因为没有邮件提醒所以忽略的证书过期.针对上述问题,目前在 Azure 平台内大部分的 PaaS 服务都已经内置了证书自动更新的能力,但对于 IaaS 服务,应为管理界面从操作系统开始都掌握在客户自己手上,所以操作系统内应用的证书更新需要客户自己来完成,那么 Azure 平台有什么好的方法可以帮助客户避免证书过期的问题.本文将