Кожен розробник, при розробці свого хмарного застосунку, рано чи пізно стикається з необхідністю зберігати секрет необхідний для роботи його застосунку. Це може бути секрет для роботи з іншим застосунком чи ресурсом, або ключ/и шифрування, або сертифікат/и. Для вирішення задач по безпечному зберіганні секретів в Microsoft Azure існує Azure Key Vault

Кожен розробник, при розробці свого хмарного застосунку, рано чи пізно стикається з необхідністю зберігати секрет необхідний для роботи його застосунку. Це може бути секрет для роботи з іншим застосунком чи ресурсом, або ключ/и шифрування, або сертифікат/и. Для вирішення задач по безпечному зберіганні секретів в Microsoft Azure існує Azure Key Vault.

Azure Key Vault це спеціальний сервіс для безпечного зберігання та доступу до секретів. Він підтримує збереження таких секретів як сертифікати, криптографічні ключі, і звичайно прості строкові значення. Цей сервіс пропонує не тільки функціонал для зберігання секретів та ведення їх версіонування, але має весь функціонал для забезпечення реалізації життєвого циклу секретів. Для забезпечення найвищого рівня безпеки ваших криптографічних ключів, ви можете використовувати спеціальний апаратному криптографічному модулі(HSM). Використання HSM допоможе забезпечить найвищий захист ваших криптографічних ключів, через те шо він гарантує, що криптографічний ключ ніколи не покине криптографічний модуль.

В рамках Azure Key Vault існує три внутрішні сервіси, це Azure Key Vault Secrets, Azure Key Vault Keys та Azure Key Vault Certificates.

Azure Key Vault Secrets – це спеціальне сховище розраховане на зберігання своїх текстових секретів, наприклад токен доступу до зовнішнього сервісу, логін і пароль до бази (connection string) до бази даних, тощо. Зверніть увагу, що максимальний об’єм одного секрету це 25 кілобайтів. Незважаючи на те що ви зберігаєте та отримуєте з Azure Key Vault звичайний текст, всередині системи він шифрується. Для цього використовується ієрархія ключів шифрування де всі ключі захищені модулями сумісними зі стандартом FIPS 140-2.

Для зберігання та керування криптографічними ключами в Azure Key Vault присутнє спеціальне сховище – Azure Key Vault Keys. В рамках цього сховища, можливо використання двох різних ресурсів для забезпечення безпеки ключів: Vault та Managed Hardware Security Module. Vault – це недороге, просте в розгортанні, високодоступне рішення для керування ключами, яке підходить для більшості сценаріїв хмарних програм. Managed Hardware Security Module – це високодоступне рішення для зберігання ваших криптографічних ключів і керування ними. Найкраще підходить для ситуації коли безпека ключа є найкритичнішою вимогою. Також Managed Hardware Security Module допомагає відповідати найсуворішим нормативним вимогам безпеки.

Azure Key Vault Certificates забезпечує керування та зберігання вашими сертифікатами x509. Azure Key Vault Certificates дозволяє додавати сертифікат шляхом імпорту наявного сертифіката або створення нового. Він підтримує створення як самопідписані сертифікати, так і сертифікати, створені центром сертифікації. За допомогою Key Vault можна створити політику, яка забезпечує керування життєвим циклом сертифіката. Підтримує автоматичне поновлення з центрами сертифікації партнера.

Для створення цього ресурсу ви можете скористатись веб порталом, Azure CLI або PowerShell.

У випадку використання веб порталу вам необхідно

1. У меню порталу Azure або на Home page виберіть Create a resource.
2. У полі пошуку введіть Key Vault.
3. Зі списку результатів обрати Key Vault.
4. У формі Key Vault натисніть Create.
5. На сторінці Create a key vault надайте таку інформацію:
   • Subscription: оберіть підписку.
   • Resource Group: натисніть Create new та введіть назву для групи ресурсів, або оберіть з існуючих.
   • Key vault name: потрібне унікальне ім’я.
   • Location: виберіть розташування дата центру де буде розгорнутий ресурсі.
6. Всі інші параметри залиште без змін.
7. Натисніть кнопку Review + Create.

8. У формі, що відчинилась, натискаємо кнопку Create

У випадку використання Azure CLI

1. Встановити Azure CLI.
2. Створити ресурсну групу виконавши наступну команду де <group-name> це ім’я нової групи, а <location-name> це назва локації дата центру*.
   • az group create –name <group-name> –location <location-name>
3. Створити Key Vault виконавши наступну команду, де <keyvault-name> це унікальне ім’я для ресурсу, а значення <group-name> і <location-name> такі самі як і ті, що використовувались при створенні ресурсної групи
   • az keyvault create –name <keyvault-name> –resource-group <group-name> –location <location-name>

az group create --name keyvault-rg --location westeurope
az keyvault create --name keyvault-euw --resource-group keyvault-rg --location westeurope

*Для того щоб отримати список доступних локацій виконайте наступну команду

az account list-locations -o table