Azure Key Vault（二）- 入门简介

一，引言

　　在介绍 Azure Key Vault 之前，先简单介绍一下 HSM（硬件安全模块）。

-------------------- 我是分割线 --------------------

1，什么是硬件安全模块（HSM）？

硬件安全模块 是一种物理计算社保，可以用来保护和管理我们的数字密钥，用于保护和管理数字密钥。同样的，与其他硬件产品一样，当我们需要的时候，都需要进行采购，安装，升级，维护，都会设计到费用问题和时间损耗问题。同时，它提供相关密码学操作的计算机硬件设备。硬件安全模块一般通过扩展卡或外部设备的形式直接连接到电脑或网络服务器。

-------------------- 我是分割线 --------------------

1，Azure Kay Vault（一）.NET Core Console App 获取密钥保管库中的机密信息

2，Azure Key Vault（二）- 入门简介

这个时候就体现出 Key Vault 的优势了，Azure Key Vault 提供了和 HSM 一样的数据保护的安全机制，同时作为一项 Azure 服务，无需我们进行维护和升级，

二，正文

1，Azure Key Vault 的用途

Azure Key Vault 中存储的任何内容都使用行业标准算法、HSM 和密钥长度进行保护。HSM 已通过联邦信息处理标准 (FIPS) 的 2 级验证。Microsoft 提供了可以安全访问 HSM 设备的界面。为了更加确保密钥的完整性，您可以在 HSM 中生成它。Microsoft 无法访问或提取您的密钥。应用程序也无法直接访问密钥。相反，您必须使用 Azure CLI、Portal 或 PowerShell 作为接口。
Azure Key Vault 可用于密钥管理，因为它可以轻松创建和控制用于加密密钥的加密密钥。它还可以用于证书管理，使您能够轻松配置、管理和部署安全套接字层/传输层安全性 (SSL/TLS)。
Azure Key Vault 支持三种类型的数据，包括：

1）Secrets：这些是 25KB 或更小的值。它们被写入和读取，并可用于存储密码、访问密钥或 SQL 连接字符串。

2）Keys：这些将写入密钥保管库，但无法导出。它们用于加密和哈希生成。即使使用密钥，也可以将其配置为不离开 HSM，而是将所需的密码操作发送到密钥保管库服务并返回结果。

3）Data：敏感信息也可以存储在 Azure Key Vault 中。

当应用程序机密集中存储在 Azure Key Vault 中时，可以更轻松地控制其分发。应用程序开发人员不再需要在他们的应用程序中存储安全信息，因此他们不再需要将此信息作为代码的一部分。

2，它是如何进行工作的？

访问密钥保管库需要适当的身份验证和授权，然后调用方（用户或应用程序）才能获得访问权限。身份验证确定调用者的身份，而授权确定允许他们执行的操作。
Azure Key Vault 还允许您隔离应用程序机密。您可以将应用程序访问限制在您允许的保管库；

• 对于密钥：创建、导入、获取、列出、备份、还原、删除、更新、签名、验证、包装、解包、加密和解密 等
• 对于秘密：创建、更新、获取、列出、删除 等
• 对于证书：创建、更新策略、联系人、导入、更新、更新 等

如下图所示

3，Azure Key Vault 是如何管理的

Azure Key Vault 允许通过 REST、CLI、PowerShell 和 Azure 资源管理器进行 Key Vault 管理。添加到 Azure Key Vault 的所有密钥和机密都有自己的 URL。应用程序可以使用 URL 访问它们需要的密钥，因此无需编写代码来保护机密信息。Key Vault 还具有日志记录功能。这使得可以监视何时以及谁访问了 Key Vault 的内容。访问日志保存在 Azure 存储帐户中。

• 它可以在需要时快速扩展。
• 您可以将 Key Vault 的内容在一个区域内复制到另一个区域以提高可用性。
• 可以通过门户、Azure CLI 和 PowerShell 轻松访问它。
• 一些与证书相关的任务可以自动化。

三，结尾

　　Key Vault 的集成可用于简化 Azure 数据加密，这是 Azure SQL 数据库中始终加密的功能。Key Vault 还可以与存储帐户、日志分析和事件中心集成。本文所分享的内容也存在着很多我自己的一些理解，有理解不到位的，还包含，并且指出不足之处！！！！！

作者：Allen

版权：转载请在文章明显位置注明作者及出处。如发现错误，欢迎批评指正。