Назначение для хранения хранилища ключей Azure Key

Question

Я новичок в платформе облачных сервисов Azure. Сегодня я столкнулся с хранилищем ключей Key-Vault, предоставляемым лазурной. Он имеет возможность хранить ключи уровня приложения и настройки. Это безопасно и безопасно с улучшенной защитой данных.

Но я не понимаю, что нужно подключиться к Key-Vault. Мне нужны артефакты моего Key-Vault, хранящиеся в моем приложении.

Если это тот случай, когда кто-то отклоняется от значений ключа, он не подключится к моему Key-Vault и не прочитает все мои ключи.

Если я должен зашифровать свои локальные настройки Key-Vault, тогда я могу зашифровать ключи, которые храню в Vault, также правильно ?. Какова цель Key-Vault ?.

Answer 1

В основном, что вы ищете, это способ подключения к лазурному хранилищу ключей. Чтобы приложение использовало хранилище ключей, оно должно аутентифицироваться с использованием токена из Azure Active Directory (AD)

Существует два способа использования Azure AD.

1. Использование ClientId и секретный
2. Использование ClientId и сертификат

Для вашего требования я хотел бы предложить, чтобы пойти с 2 подхода.

См. Эту статью: Authenticating a client application with Azure Key Vault.

Answer 2

Помимо возможности аутентификации с клиентскими сертификатами, которые могут храниться в защищенных хранилищах, в отличие от простых паролей, другой момент заключается в том, что Keyvault работает как криптографический оракул. Он хранит ваши ключи, и никогда не выпускает их. Когда вы хотите выполнять криптографические операции (шифровать, расшифровывать и т. Д.), Вы отправляете свои данные в Keyvault, а не получаете ключ от него. Это гарантирует, что даже если злоумышленник (или даже администратор) имеет временный доступ ко всей вашей инфраструктуре, он имеет доступ к вашим данным в течение ограниченного времени и никогда не сможет получить ваши фактические ключи. Другое преимущество заключается в том, что любой доступ может быть проверен надлежащим образом.