为什么 Azure Key Vault 是安全的?
nic*_*cks 6 .net azure azure-keyvault
Azure Key Vault 为什么或如何安全?我需要在服务器上存储密钥 URI 和客户端 ID 以及客户端机密,因此如果任何人授予对托管应用程序的服务器的访问权限,他将能够访问存储在 Key Vault 中的密钥和机密。这意味着将它们存储在服务器上同样安全,对吗?
这对 OP 来说已经晚了,但我希望它可以帮助其他人解决使用 Azure Key Vault 时的鸡蛋问题。
在 Azure VM 上运行应用程序的上下文中client_secret,您可以使用客户端证书身份验证,而不是用于身份验证,如本文档中所述:使用证书而不是客户端密钥进行身份验证。
在上图中:
- 应用程序通过证明它具有证书的私钥(如果您使用的是 Windows ,它基本上存储在CNG 中)来对 AAD 进行身份验证。
- 应用程序取回
access_token,然后使用它来访问 Key Vault。
开发人员无需知道证书的私钥值即可成功验证其应用程序。相反,他们只需要知道导入的位置pfx(私钥及其证书的容器)在证书存储中的位置。
至少在 Windows 上,您作为机密管理员可以将私钥和证书转换pfx为受密码保护的格式,然后将其部署到 Windows 证书存储中。这样,除非知道文件的密码,否则没有人知道私钥pfx。
Azure 计算的另一种方法细节是使用Azure 托管服务标识。使用 Azure MSI,Azure 会自动为你的资源(例如 VM)分配一个标识/服务主体,并且你可以在只有你的资源可以访问的特定端点发出请求以获取access_token. 但请注意 Azure MSI 仍处于公共预览阶段,因此请在使用前查看已知问题。
上图解释了 Azure 资源管理器如何为 VM 分配服务主体标识。
- 在 VM 中启用 MSI 时,Azure 将在 AAD 中创建服务主体。
- 然后,Azure 会将新的 MSI VM 扩展部署到您的 VM。这在http://localhost:50432/oauth2/token提供了一个端点,用于获取
access_token服务主体的 。 - 然后,您可以使用
access_token来访问授权服务主体访问权限的 Key Vault 等资源。
您误解了 Key Vault。从某种意义上说,Key Vault 是安全的,没有任何内容通过公共 Internet 传输,与 Key Vault 和 Azure 资源的所有通信都通过 Azure Backbone,因此默认情况下它们是安全的(好吧,如果您认为 Azure 是安全的)。
此外,使用 Key Vault,您可以允许部署某些证书而无法查看它们(或复制它们)。基本上,它支持 RBAC。
| 归档时间: |
|
| 查看次数: |
2810 次 |
| 最近记录: |