6

在应用程序配置上使用 Azure Key Vault 有什么意义吗?

是的,是的,我知道 -它们是免费的,用于机密的密钥库,用于...的应用程序配置,以及应用程序配置。

但是,考虑到它们都是加密的,基本上让某人看到他们必须有权访问您的天蓝色门户的秘密或配置值(这是一个低级的坏人场景)。

我看到的唯一区别是您可以在保管库和配置之间以不同的方式控制权限,但除此之外,如果有人未经授权访问您的门户,您就会遇到更大的问题。

所以为什么?并且请只提出好的和真实的论点,不要“因为你应该”或“因为 X 人这么说”,我会从应用程序配置中没有的 key vault 获得什么好处?

4

3 回答 3

4

我认为你不应该忽视这样一个事实,即拥有你的应用服务配置的人可以看到这些秘密。贵公司的开发人员可以访问生产应用服务以进行错误调查,但这并不意味着他可以访问生产机密。单个员工的笔记本电脑(可以访问 Azure 门户)被黑客入侵这一事实并不一定意味着“可以访问应用程序的每个秘密”。

但是除了(正如您已经知道上述内容),我看到了哪些差异:

  • 更好的治理和访问监控:您可以通过日志查看谁尝试访问每个秘密、何时以及如何访问,这是您在应用服务中无法做到的
  • 更好的秘密管理:所有秘密都存储在一个地方,当一些秘密在多个应用服务中共享(使用)时,您只需在密钥库中修改一次,而不是在每个应用服务配置上修改它们
  • 一些先进的机制,如恢复管理和清除保护
  • 更好的开发体验:在调试应用程序时,如果您的用户有权访问密钥库,他只需运行该应用程序即可将密钥库中的机密加载到配置中,而不是从本地 Azure 应用设置中手动复制机密
于 2021-09-14T22:03:44.230 回答
1

我很欣赏你的问题。我将其重新表述为:

Q) Key VaultApp Configuration的设计有何不同,以支持不同的目的?我在哪里可以找到功能和优势的清晰比较表?

我也很欣赏你的旁白:

请只提出好的和真实的论点,不要“因为你应该”或“因为 X 人这么说”,我会从应用程序配置中没有的密钥库获得什么好处?

以下是我发现将好处理解为对比的内容:

第 1 条:什么是 Azure 应用配置?

应用程序配置补充 了用于存储应用程序机密的Azure Key Vault 。应用程序配置可以更轻松地实现以下场景

  • 集中管理和分发不同环境和地域的分层配置数据
  • 无需重新部署或重新启动应用程序即可动态更改应用程序设置
  • 实时控制功能可用性

第 2 条:使用 Key Vault 进行密钥管理

使用 Key Vault 进行密钥管理

如果没有对密钥进行适当的保护和管理,加密就会变得毫无用处。Key Vault 是 Microsoft 推荐的解决方案,用于管理和控制对云服务使用的加密密钥的访问。可以通过 Azure Active Directory 帐户将访问密钥的权限分配给服务或用户。

Key Vault 使组织无需配置、修补和维护硬件安全模块 (HSM) 和密钥管理软件。使用 Key Vault 时,您可以保持控制。Microsoft 永远不会看到您的密钥,应用程序也无法直接访问它们。您还可以在 HSM 中导入或生成密钥。

第 3 条:具有软删除和清除保护的 Azure Key Vault 恢复管理

软删除和清除保护是两种不同的密钥保管库恢复功能。

于 2022-02-18T23:56:58.177 回答
0

1-存储在 Azure Key Vault 中的数据已加密(应用配置未加密)

2-如果一个人与贡献者角色相关联,他/她可以在您的应用程序配置中看到配置,在 Key Vault 上,只允许委托人。

3-您可以轮换存储在 Azure Key Vault 中的机密,并且您的应用不会出现任何停机时间(除非您将其缓存在您的应用服务上并且需要重新启动它以刷新缓存)

4-Azure Key Vault 是 Microsoft 推荐的用于存储机密、密钥和证书的服务

于 2021-05-27T13:44:51.373 回答