Храните и управляйте секретами с помощью Azure Key Vault с Azure

Поскольку компания Tailwind Traders создает свои рабочие нагрузки в облаке, ей необходимо тщательно обрабатывать конфиденциальную информацию, такую как пароли, ключи шифрования и сертификаты. Эта информация должна быть доступна для работы приложения, но она может дать неавторизованному лицу доступ к данным приложения.

Azure Key Vault — это централизованная облачная служба для хранения секретов приложения в одном центральном месте. Он обеспечивает безопасный доступ к конфиденциальной информации, предоставляя возможности контроля доступа и ведения журнала.
**
Что может сделать Azure Key Vault?
Azure Key Vault может помочь вам:

  • Управлять секретами Вы можете использовать Key Vault для надежного хранения и жесткого контроля доступа к токенам, паролям, сертификатам, ключам API и другим секретам.

  • Управлять ключами шифрования Вы можете использовать Key Vault в качестве решения для управления ключами. Key Vault упрощает создание и контроль ключей шифрования, которые используются для шифрования ваших данных.

  • Управление сертификатами SSL/TLS Key Vault позволяет предоставлять, управлять и развертывать публичные и частные сертификаты Secure Sockets Layer/Transport Layer Security (SSL/TLS) для ресурсов Azure и внутренних ресурсов.

  • Хранение секретов с помощью аппаратных модулей безопасности (HSM) Эти секреты и ключи могут быть защищены либо программным обеспечением, либо HSM, сертифицированными по стандарту FIPS 140-2 уровня 2.

Вот пример, показывающий сертификат, используемый для тестирования в Key Vault.


Вы добавите секрет в Key Vault позже в этом модуле.

Каковы преимущества Azure Key Vault?
Преимущества использования Key Vault включают в себя:

К преимуществам использования Key Vault относятся:

  • Централизованное хранение секретов приложений Централизованное хранение секретов приложений позволяет контролировать их распространение и снижает вероятность случайной утечки секретов.

  • Безопасное хранение секретов и ключей Azure использует стандартные алгоритмы, длины ключей и HSM. Для доступа к Key Vault требуется соответствующая аутентификация и авторизация.

  • Мониторинг и контроль доступа С помощью Key Vault можно контролировать и управлять доступом к секретам приложений.

  • Упрощенное администрирование секретов приложений Key Vault упрощает регистрацию и обновление сертификатов от публичных центров сертификации (ЦС). Вы также можете масштабировать и реплицировать содержимое в регионах и использовать стандартные инструменты управления сертификатами.

  • Интеграция с другими службами Azure Вы можете интегрировать Key Vault с учетными записями хранилищ, реестрами контейнеров, концентраторами событий и многими другими службами Azure. Эти службы могут безопасно ссылаться на секреты, хранящиеся в Key Vault.

Управление паролем в Azure Key Vault

В этом упражнении вы добавите пароль в Azure Key Vault. Пароль — это пример конфиденциальной информации, которую необходимо защитить. Затем вы считываете пароль из Azure Key Vault, чтобы убедиться, что пароль доступен.

На практике существует несколько способов добавления секретов в Key Vault и чтения секретов из него. Вы можете использовать портал Azure, CLI Azure или Azure PowerShell. Используя ваш любимый язык программирования, ваши приложения также могут получить безопасный доступ к необходимым им секретам.

Здесь вы создаете секрет в Key Vault с помощью портала Azure. Затем вы получаете доступ к секрету с портала и из Azure CLI в Azure Cloud Shell.

Azure CLI — это способ работы с ресурсами Azure из командной строки или с помощью сценариев. Cloud Shell — это браузерная оболочка для управления и разработки ресурсов Azure. Рассматривайте Cloud Shell как интерактивную консоль, работающую в облаке.

Создание хранилища ключей

  1. Перейдите на портал Azure.

  2. В меню портала Azure или на главной странице в разделе Службы Azure выберите Создать ресурс. Откроется панель «Создание ресурса».

3.В строке поиска введите Key Vault, а затем выберите Key Vault в результатах. Откроется панель Key Vault.

  1. Выберите Создать. Откроется панель «Создание хранилища ключей».

  2. На вкладке Основы введите следующие значения для каждого параметра.

** Примечание**

Замените NNN на ряд цифр. Это поможет обеспечить уникальность имени вашего хранилища ключей.

  1. Выберите Обзор + создать, а после прохождения проверки выберите Создать.

Дождитесь успешного завершения развертывания.

  1. Выберите Перейти к ресурсу.

  2. Обратите внимание на некоторые сведения о вашем хранилище ключей.

Например, в поле Vault URI указан URI, который ваше приложение может использовать для доступа к хранилищу через REST API.

Вот пример для хранилища ключей с именем my-keyvault-321:

  1. В качестве дополнительного шага, на левой панели меню, в разделе Настройки, рассмотрите некоторые другие функции.

Хотя они изначально пусты, здесь вы найдете места, где можно хранить ключи, секреты и сертификаты.

** Примечание**.

Только ваша подписка Azure имеет право доступа к этому хранилищу. В разделе Настройки функция Политики доступа позволяет настроить доступ к хранилищу.

Добавление пароля к хранилищу ключей

  1. На левой панели меню в разделе Настройки выберите Секреты. Появится панель вашего хранилища ключей.

  2. В верхней строке меню выберите Генерация/Импорт. Появится панель Создать секрет.

  3. Заполните следующие значения для каждого параметра.

  1. Выберите Создать.

Показать пароль

Здесь вы получаете доступ к паролю из Key Vault два раза. Сначала вы получаете доступ к нему с портала Azure. Затем вы получаете доступ к нему из Azure CLI.

  1. На панели Key Vault/Secrets выберите MyPassword. Откроется панель MyPassword/Versions. Вы видите, что текущая версия включена.

  2. Выберите текущую версию. Откроется панель Секретная версия.

  3. В разделе Идентификатор секрета отображается URI, который теперь можно использовать в приложениях для доступа к секрету. Помните, что только авторизованные приложения могут получить доступ к этому секрету.

  4. Выберите Показать значение секрета. Появится уникальное значение для этой версии пароля.

  1. Из Cloud Shell выполните эту команду.

Примечание

Замените my-keyvault-NNN на имя, которое вы использовали ранее.

az keyvault secret show 
    --name MyPassword 
    --vault-name my-keyvault-NNN 
    --query value 
    --output tsv
Войти в полноэкранный режим Выйдите из полноэкранного режима

В выводе вы увидите пароль.

вывод

hVFkk96
Вход в полноэкранный режим Выход из полноэкранного режима

На этом этапе у вас есть хранилище ключей, содержащее секрет пароля, который надежно хранится для использования в ваших приложениях.

Очистка

Песочница автоматически очистит ваши ресурсы, когда вы закончите работу с этим модулем.

Когда вы работаете в собственной подписке, в конце проекта полезно определить, нужны ли вам еще ресурсы, которые вы создали. Ресурсы, которые вы оставляете работающими, могут стоить вам денег. Вы можете удалить ресурсы по отдельности или удалить группу ресурсов, чтобы удалить весь набор ресурсов.

Оцените статью
Procodings.ru
Добавить комментарий