「記事のディレクトリのWindowsのAzureのプラットフォームシリーズ」
なぜアズールキーVaultのでしょうか?
私たちは、マイクロソフトのクラウドAzureの上のシーンは、.NETアプリケーション内のWindowsのVMは、ADO.NET接続文字列による.NETアプリケーションは、バックエンドSQL VMにリンクされていることを前提としています。
SQL VMのWindows VMは、ユーザー名とパスワードで保存することができますSQL ADO.NET接続文字列、バックエンドへの直接アクセスを考慮して、ハッカーがハッキングされた場合。
このようなSQL VMもハッキングして。
私たちは、SQL接続文字列の暗号化とアクセス制御を続けていくならば、我々は、データベース内のSQL VMを保護することができます。
キーボールト(秘密鍵金庫)とは何ですか?
アズールキーVaultは、管理することができます。
1.パスワード管理
アズールキーVaultは安全にトークン、パスワード、証明書、APIキー、および他の機密を保存し、厳密なアクセスを制御するために使用することができます
2.証明書の管理
アズールキーVaultは、このようなCDNの利用HTTPS証明書など、他のAzureのサービスで使用できるSSL / TLS証明書を管理し、展開するために使用することができます
どのようなシナリオの下には、AzureのキーVaultを使用したいです
アプリケーションの秘密の1集中管理
アズールキーボールトで集中ストレージアプリケーションの秘密にあなたはその分布を制御することができます。キーVaultは大幅に機密の偶然の開示の可能性を減らすことができます。キーのVaultでは、アプリケーション開発者は、もはやアプリケーションのセキュリティ情報の保存にする必要がありません。アプリケーションに保存された情報を保護するため、そのためのコードの一部としてこの情報を必要としない必要はありません。アプリケーションがデータベースに接続する必要がある場合たとえば、あなたが安全に、アプリケーション・コードに格納されるのではなく、キーVaultで接続文字列を格納することができます。
アプリケーションは、彼らが必要とする情報へのアクセスを保護URIを使用することができます。これらのURIは、アプリケーションが秘密の特定のバージョンを取得することができます。だから、キーボールトに保存されているすべての機密情報を保護するためのカスタムコードを記述する必要はありません。
2.安全に秘密鍵及び保存
アズールと、業界標準のアルゴリズムによって使用される秘密鍵を、鍵長とハードウェアセキュリティモジュール(HSM)を保護します。HSMは、連邦情報処理標準(FIPS)140-2レベル2を使用して検証されます。
アクセスキーボールトは、そうでなければ、発信者(ユーザまたはアプリケーション)にアクセスすることができず、適切な認証と承認を必要とします。認証は、発呼者の同一性を決定するために使用し、その後、発信者の操作が実行できる許可することを決定しています。
認証は、AzureのActive Directoryによって行われます。完了するために、役割ベースのアクセス制御(RBAC)またはキーVaultのアクセスポリシーを通じて認定。ボールトは、RBACの使用を管理している場合は、キー金庫のアクセスポリシーを使用して、ストレージ・ライブラリに格納されたデータにアクセスしようとします。
HSMは、AzureのキーのVaultのソフトウェアまたはハードウェア保護することができます。信頼性を向上させるために必要な場合、または鍵を生成するために導入されてもよいことに境界HSMハードウェアセキュリティモジュール(HSM)を超えません。マイクロソフトは、nCipherのハードウェアセキュリティモジュールを使用しています。あなたは、Azureのキーボールトから移動するためのnCipher HSMキーにツールを使用することができます。
最後に、アズールキーVaultの設計によると、Microsoftは、データを表示または抽出することができない、ということを指摘しなければなりません。
3.モニターへのアクセスと使用
複数のキーVaultを作成した後、ユーザーがキーと機密アクセスと時間を監視する方法を必要としています。あなたは、ロギング・ボールトを有効にすることで、アクティビティを監視することができます。アズールキーVaultでは、次の操作を実行するように構成することができます。
- ストレージアカウントにアーカイブ。
- イベントセンターにストリーミング。
- Azureの監視ログにログを送信します。
自分のログを制御することができ、あなたがセキュリティログを確実にするためのアクセスを制限することができ、あなたはまた、不要になったログを削除することができます。
4.アプリケーション管理の秘密を簡素化
あなたの貴重なデータを保存するときは、ステップ数を実行する必要があります。安全性情報が保護されなければならない、ライフサイクルが非常に利用可能でなければならない従わなければなりません。アズールキーVaultは、以下の操作により、これらの要件を満たすために、プロセスを簡略化することができます。
- 内部ハードウェア・セキュリティ・モジュールのない知識
- 通知を受け取った後、すぐにピーク需要の使用団体を満たすためにスケールアップすることができます。
- キーVaultは、特定のエリアの内容をコピーして、二次エリアにコピーします。データレプリケーションは、高い可用性を確保するために、管理者は、フェールオーバーをトリガーすることなく動作することができます。
- ポータル、AzureのCLIおよびPowerShellのAzureの管理オプションを使用して標準を提供します。
- 証明書の場合、自動的にそのような登録や更新などの特定のタスクを実行するために公共のCAから購入しました。
また、それはまた、アズールキーVaultで機密アプリケーションを分離することができます。アプリケーションは、彼らだけがアクセス権を持っているボールトにアクセスすることができ、かつ唯一の特定の操作を実行することができます。あなただけのキーVaultで開発者コミュニティに保存されている各アプリケーション、機密特定のアプリケーションとのアクセスデータのアズールキーVaultを作成することができます。
Azureでは、他のサービスと統合
キーVaultは、次のスキームを簡素化するために使用されてきた、セキュアなストレージにAzureのように:
- Azureのディスク暗号化
- 常に暗号化サーバおよびSQL AzureのSQLデータベース
- Azureのアプリケーションサービス。
キーボールト自体はストレージアカウント、イベントセンターとログ解析と統合することができます。