Azure key vault

Wat is Azure key vault? 

Azure Key Vault is een Cloud faciliteit die het mogelijk maakt om privé-informatie veilig op te slaan. Het biedt een enkele locatie voor het gezamenlijk opslaan van geheime wachtwoorden, ed. Door Azure Key Vaults te gebruiken, wordt je gevoelige informatie niet blootgesteld in de database van de applicatie of in de configuratiebestanden. Het enige wat je hoeft te doen is een sleutel aanmaken in de Azure Key Vault en er vanuit een applicatie toegang toe krijgen via de URL. De authenticatie en autorisatie voor elke handeling tegen de Key Vault worden verzorgd door Azure Active Directory. 

Wat zijn de verschillende toepassingen van Azure Key Vault?

• Beheer van sleutels: Azure Key Vault maakt het mogelijk om sleutels te maken en te beheren die typisch worden gebruikt bij het versleutelen van gegevens. Je kunt zelfs andere Azure-services integreren met Key Vault om de beveiliging te verbeteren en geheimen te ontsleutelen zonder zelfs de versleutelingssleutels te kennen. Azure Key Vault slaat zowel door software beveiligde sleutels als HSM (Hardware Security Module) beveiligde sleutels op. 
• Beheer van geheimen: Azure Key Vault kan geheimen opslaan zoals wachtwoorden, databaseverbindingssnaren en andere elementen waarvan de grootte minder is dan 10 KB. Typisch kan elk gegeven worden versleuteld en opgeslagen in de Azure Key Vault. Nadat de versleutelde gegevens zijn opgeslagen, wordt automatisch een geheimidentificator gegenereerd die vervolgens wordt gebruikt om toegang te krijgen tot de opgeslagen geheime gegevens.
• Beheer van certificaten: Azure Key Vault slaat X509-certificaten veilig op en beheert ze. Je kunt openbare en privé SSL/TLS-certificaten beheren en implementeren. Een certificaat kan worden gemaakt en opgeslagen door een certificaateigenaar of het kan worden geïmporteerd en opgeslagen. Het slaat zowel zelf ondertekende als door 'Certificate Authority' gegenereerde certificaten op. Zelfs het verlopen en vernieuwen van certificaten wordt gemeld aan de certificaateigenaar.

Hoe een Key Vault te gebruiken in een operatie? 

Meestal is voor het uitvoeren van een operatie wat data nodig die in de Key Vault is opgeslagen. Om toegang te krijgen tot de data in de Key Vault is de juiste authenticatie bij de Key Vault vereist. Er zijn drie manieren om jezelf te authentiseren bij de Key Vault:

1. Gebruik van Azure beheerde identiteit: Hierbij wordt een identiteit voor de virtuele machine gemaakt om toegang te krijgen tot de Key Vault. Zodra de identiteit succesvol is aangemaakt, wordt deze volledig beheerd door Azure. Azure past automatisch de identiteit aan om de beveiliging nog verder te verbeteren. Dit is de meest gebruikte methode om toegang te krijgen tot de Key Vault. Er zijn nog twee soorten beheerde identiteiten:
2. Identiteit toegewezen door systeem: Dit verleent toegang alleen aan de Azure resource in een specifiek geval. Zodra het geval is verwijderd, wordt ook je autorisatie verwijderd. Identiteit toegewezen door gebruiker: Dit verleent toegang tot meerdere Azure resources zonder afhankelijk te zijn van een specifiek geval. Gebruik van Service Principal en certificaat Je kunt het X.509-certificaat gebruiken voor resource-authenticatie. Het certificaat wordt volledig beheerd door de eigenaar of ontwikkelaar van de applicatie.
3. Gebruik van Service Principal en Geheim: Dit is de minst veilige methode. Hierbij wordt de applicatie geregistreerd in de Azure Directory en opgeslagen als een geheim. Dit geheim wordt vervolgens gebruikt om te authentiseren bij de Azure Key Vault.

Hoe krijg je toegang tot een geheim wachtwoord vanuit Azure Key Vault?

Om toegang te krijgen tot een geheim vanuit de Azure Key Vault, moet je de onderstaande stappen uitvoeren:

Stap 1: Registreer een beveiligingsprincipe. Een beveiligingsprincipe is een object dat wordt aangemaakt om elke gebruiker, toepassing, serviceprincipe en beheerde identiteit te vertegenwoordigen die toegang willen tot de resources van de kluis. De registratie van het beveiligingsprincipe wordt uitgevoerd door de beveiligingsbeheerder op de volgende manieren:

• Allereerst moet een gebruiker of een toepassing worden geregistreerd in de Azure Active Directory (AAD).
• Vervolgens bepaalt de beveiligingsbeheerder op welke gronden een gebruiker of toepassing toegang krijgt tot de Key Vault. De beveiligingsbeheerder maakt niet alleen de Key Vault, maar ook de beleidsregels voor toegang tot geheimen die zijn opgeslagen in de Key Vault. De toegangsbeleidsregels bevatten een lijst met bewerkingen die een serviceprincipe mag uitvoeren met de Key Vault. Vooraf gedefinieerde rollen zijn aanwezig die zijn toegewezen met rol-specifieke bewerkingen. Het serviceprincipe krijgt bewerkingen van die rol waaraan het is toegewezen. Rollen kunnen afzonderlijk worden aangemaakt voor een specifiek serviceprincipe en de bewerkingen die het kan uitvoeren, kunnen afzonderlijk worden toegewezen. Over het algemeen wordt de methode van minste privilege gevolgd voor het toewijzen van bewerkingen en alleen die bewerkingen zijn toegestaan door de toegangsbeleidsregels die noodzakelijk zijn voor het serviceprincipe.
• De Azure Key Vault-firewall wordt ook geconfigureerd door de beveiligingsbeheerder. De firewall bepaalt of een serviceprincipe de Key Vault mag aanroepen. Configuratie van de Key Vault-firewall kan worden weggelaten en toegang kan worden verleend via het openbare internet. Toegang verlenen via het openbare internet is minder veilig maar gemakkelijker te configureren. Toegang tot de Key Vault kan worden beperkt tot specifieke reeksen IP-adressen, service- of privé-eindpunten en virtuele netwerken. Dit is een veiliger proces.

Stap 2: Authenticatie bij de Azure Active Directory (AAD) gebeurt met behulp van een van de volgende serviceprincipes: 

• Een gebruikersnaam en wachtwoord kunnen door een gebruiker worden gebruikt om in te loggen op de Azure Key Vault.
• Elke toepassing kan inloggen op de Azure Key Vault met behulp van een client-id en door de Azure Active Directory (AAD) te voorzien van een clientcertificaat of clientgeheim.
• Een virtuele machine die een resource van Azure is, heeft een vooraf toegewezen identiteit, namelijk een Azure Managed Identity. Het ontvangt een toegangstoken door de Azure Instance Metadata Services (IMDS) -REST-eindpunt te benaderen.

Stap 3: Een toegangstoken wordt verstrekt aan het serviceprincipe bij succesvolle authenticatie bij de Azure Active Directory (AAD).

Stap 4: De Key Vault wordt vervolgens aangeroepen door het serviceprincipe en het toegangstoken wordt aan de kluis gepresenteerd.

Stap 5: De Azure Key Vault-firewall beslist of de oproep naar de Key Vault wordt toegestaan. Zodra de beller is geverifieerd als een geautoriseerde beller, wordt de oproep naar de Key Vault toegestaan.

Stap 6: De Azure Key Vault controleert het toegangstoken door de Azure Active Directory (AAD) aan te roepen.

Stap 7: Key Vault controleert de toegangsbeleidsregels die zijn bepaald door de beveiligingsbeheerder. Op basis van de machtigingen in deze beleidsregels wordt besloten of toegang tot de Key Vault aan het serviceprincipe wordt verleend.

Stap 8: Als de beleidsregels dit toestaan, wordt toegang verleend aan het serviceprincipe. Het serviceprincipe kan nu het geheim van de Key Vault voor zijn doeleinden openen.

Maak de serviceprincipe aan in de Azure-portal en het clientcertificaat voor de principaal. Het bovenstaande codefragment laat zien hoe het geheim kan worden verkregen na het configureren van Azure Key Vault, d.w.z. het maken van tenant-id en client-id.

Conclusie

Deze post heeft je hopelijk een basisbegrip gegeven van wat Azure Key Vault is en waarom het zo populair is. Het is een zeer eenvoudige manier om geheimen, certificaten en sleutels veilig op te slaan. Versleutelingssleutels kunnen eenvoudig worden aangemaakt en beheerd in de Azure Key Vault. Dus ga verder en stel je aangepaste Azure Key Vault in en creëer een veilige opslag voor geheimen.