部署和配置密鑰庫

Azure Key Vault密鑰庫

密鑰保管庫和 VM 必須位于同一 Azure 區(qū)域和訂閱中。

Azure Key Vault是一個用于安全地存儲和訪問機密的工具。機密是你希望嚴格控制對其的訪問的任何東西，例如API密鑰、密碼或證書。保管庫是機密的邏輯組。

• 租戶:租戶是擁有和管理特定的Microsoft云服務實例的組織。它通常用來引用組織的Azure和offce 365服務集。（在賬戶下創(chuàng)建的組織，管理邏輯分割，財務統(tǒng)一管理）
• 保管庫所有者:保管庫所有者可以創(chuàng)建密鑰保管庫并獲得它的完全訪問權限和控制權。保管庫所有者還可以設置審核來記錄誰訪問了機密和密鑰。管理員可以控制密鑰生命周期。他們可以滾動到密鑰的新版本、對其進行備份，以及執(zhí)行相關的任務。
• 保管庫使用者:當保管庫所有者為保管庫使用者授予了訪問權限時，使用者可以對密鑰保管庫內的資產(chǎn)執(zhí)行操作?？捎貌僮魅Q于所授予的權限。
• 服務主體: Aaure服務主體是用戶創(chuàng)建的應用、服務和自動化工具用來訪問特定Avure資源的安全標識?？蓪⑵湟暈榫哂刑囟ń巧?，并且權限受到嚴格控制的用戶標識”(用戶名和密碼，或者證書)。與普通的用戶標識不同，服務主體只需執(zhí)行特定的操作。如果只向它授予執(zhí)行管理任務所需的最低權限級別，則可以提高安全性。
• Azure Active Directory (Aaure AD):Aure AD是租戶的Active Dlrectory服務。每個目錄有一個或多個域。每個目錄可以有多個訂閱與之關聯(lián)，但只有一個租戶。
• Azure租戶ID:租戶ID是用于在Azure訂閱中標識Azure AD 實例的唯一方法。
• 托管標識:雖然Awure key Vaut可用于安全存儲憑據(jù)以及其他密鑰和機密，但代碼需要通過Key Vaut的身份驗證才能檢索它們。使用托管標識可為Aaure服務提供Aure AD中的自動托管標識，更巧妙地解決了這個問題,可以使用此標識向支持Aure AD身份驗證的密鑰保管庫或任何服務證明身份，而無需在代碼中放入任何憑據(jù)。有關詳細信息，請參閱下圖以及Azure資源的托管標識概述。

Azure Key Vault密鑰庫作用

• 加密密鑰:支持多種密鑰類型和算法，可以對高價值的密鑰使用硬件安全模塊(HSM)。不支持oct-HSM 對稱密鑰加密方式，支持RSA-HSM：RSA 密鑰和EC-HSM：橢圓曲線鍵加密
• 機密:提供機密(例如密碼和數(shù)據(jù)庫連接字符串)的安全存儲。
• 證書:支持基于密鑰和機密并且添加了自動續(xù)訂功能的證書。
• 硬件安全模塊:這些機密和密鑰可以通過軟件或FIPS 140-2級別2驗證的HSM進行保護

Key Vault 對象

Key Vault中的對象通過URL唯一標識。不管地理位置如何，系統(tǒng)中都不存在兩個具有相同URL的對象。對象的完整URL稱為對象標識符。URL由標識Key Vault的前綴、對象類型、用戶提供的對象名稱和對象版本組成。對象名稱不區(qū)分大小寫且不可變。不包括對象版本的標識符稱為基本標識符。
對象標識符具有以下常規(guī)格式:
https://{keyvault-name}.vault.azure.net/{object-type}/{object-name]/{object-version}

Azure密鑰保管庫高可用性

• Azure密鑰保管庫具有多層冗余功能，確保密鑰和機密持續(xù)可供應用程序使用，即使服務的單個組件發(fā)生，故障也是如此。
• 密鑰保管庫的內容會在區(qū)域中復制，并且會復制到至少150英里以外(但位于同一個地理位置）的次要區(qū)域。這可以保持密鑰和機密的高持久性。
• 如果密鑰保管庫服務中的單獨組件發(fā)生故障，則區(qū)域內的替代組件將繼續(xù)處理請求，確保不會導致功能損失。不需要采取任何措施即可觸發(fā)此功能，這種機制會以透明的方式自動發(fā)生。
• 在整個Azure區(qū)域不可用的情況下(這很少見)，對該區(qū)域中的 Azure密鑰保管庫發(fā)出的請求
• 會自動路由(故障轉移"）到次要區(qū)域。當主要區(qū)域再次可用時，請求將路由回（故障回復”)到主要區(qū)域。同樣，不需要采取任何措施,因為這會自動發(fā)生。
• 通過這種高可用性設計，Azure密鑰保管庫不需要停機進行維護活動。

Azure Key Vault軟刪除（多重保護）

Key Vault 的軟刪除功能可以恢復已刪除的保管庫，并刪除已刪除的密鑰保管庫對象（例如密鑰、機密和證書)，這稱為軟刪除。具體而言，我們要處理以下方案:此保護提供以下保護:

• 刪除密鑰、密鑰、證書或密鑰保管庫后，它將在可配置的7到90日歷天內保持可恢復。如果未指定配置,則默認恢復時間將設置為90天。這為用戶提供了充足的時間來通知意外的機密刪除和響應。
• 若要永久刪除機密，必須執(zhí)行兩個操作。首先，用戶必須刪除該對象，然后將其置于軟刪除狀態(tài)。其次，用戶必須清除軟刪除狀態(tài)的對象。清除操作需要其他訪問策略權限。這些附加保護降低了用戶意外或惡意刪除密鑰或密鑰保管庫的風險。
• 若要清除軟刪除狀態(tài)的機密，必須為服務主體授予額外的"清除"訪問策略權限。默認情況下，清除訪問策略權限不會授予任何服務主體，包括密鑰保管庫和訂閱所有者，并且必須特意設置。如果要求提升的訪問策略權限來清除軟刪除的機密，則會降低意外刪除機密的概率。
  
  
  

在代碼里不用明文輸入密碼，輸入下面密碼地址，就可以正常訪問

使用PowerShell將密碼存儲在密鑰庫中

$value = convertTo-Securestring  'S3449PT !@90Q'
		-AsplainText -Force
Set-AzureKeyvaultSecret-vaultName 'measureup'-Name 'ApplicationPassword'
		-secretvalue $value

• ConvertTo-SecureString cmdlet 將純文本值轉換為安全（加密）字符串。
• -AsPlainText參數(shù)指示要將其轉換為純文本的字符串
• Set-AzureKeyVaultSecret cmdlet使用指定為-name參數(shù)的名稱將密碼存儲在密鑰庫中。
• -SecretValue參數(shù)指定秘密。在這種情況下，秘密是加密的密碼。

部署和配置Azure AD托管標識（Managed Service ldentity）

Azure資源的托管標識是Azure Active Directory的一項功能。支持Azure資源的托管標識的每個Azure服務都受其自己的時間線限制。

生成云應用程序時需要應對的常見挑戰(zhàn)是，如何管理代碼中用于云服務身份驗證的憑據(jù)。保護這些憑據(jù)是一項重要任務。理想情況下，這些憑據(jù)永遠不會出現(xiàn)在開發(fā)者工作站上，也不會被簽入源代碼管理系統(tǒng)中。雖然Azure Key Vault可用于安全存儲憑據(jù)、機密以及其他密鑰，但代碼需要通過Key Vault的身份驗證才能檢索它們。

Azure Active Directory (Azure AD)中的Azure資源托管標識功能可以解決此問題。此功能為Azure服務提供了Azure AD 中的自動托管標識。可以使用此標識向支持Azure AD身份驗證的任何服務(包括Key Vault)證明身份,無需在代碼中放入任何憑據(jù)。

如果有Azure訂閱，Azure AD中的Azure資源托管標識功能是免費的。不需額外付費。

托管標識類型

https://learn.microsoft.com/en-us/azure/active-directory/managed-identities-azure-resources/overview

托管標識分為兩種類型:

• 系統(tǒng)分配:某些Azure服務允許您直接在服務實例上啟用托管標識。啟用系統(tǒng)分配的托管標識時，將在Azure AD中創(chuàng)建標識。該標識與該服務實例的生命周期相關聯(lián)。刪除資源時，Azure會自動刪除您的身份。根據(jù)設計，只有Azure資源可以使用此身份向Azure AD請求令牌。不能被分配，它只能與單個Azure資源關聯(lián)
• 用戶分配:可以創(chuàng)建托管標識作為獨立的 Azure 資源?？梢詣?chuàng)建用戶分配的托管標識，并將其分配給 Azure 服務的一個或多個實例。對于用戶分配的托管標識，標識與使用它的資源分開管理。

在內部，托管標識是特殊類型的服務主體，它們已鎖定，只能與Azure資源配合使用。刪除托管標識時，相應的服務主體也會自動刪除。此外，在創(chuàng)建用戶分配的標識或系統(tǒng)分配的標識時，托管標識資源提供程序(MSRP）會在內部向該標識頒發(fā)證書。
代碼可以使用托管標識來請求支持Azure AD身份驗證的服務的訪問令牌。Azure負責滾動更新服務實例使用的憑據(jù)。

用戶分配托管標識

系統(tǒng)分配托管標識：

• 可以按照以下步驟使用托管標識：
  1：在 Azure 中創(chuàng)建托管標識?？梢栽谙到y(tǒng)分配的托管標識或用戶分配的托管標識之間進行選擇。
  2：使用用戶分配的托管標識時，請將托管標識分配給“源”Azure 資源，例如 Azure 邏輯應用或 Azure Web 應用。
  3：授權托管標識有權訪問“目標”服務。
  4：使用托管標識訪問資源。在此步驟中，可以將 Azure SDK 與 Azure.Identity 庫配合使用。某些“源”資源提供知道如何對連接使用托管標識的連接器。在這種情況下，您可以使用標識作為該“源”資源的功能。

使用 Azure Active Directory 對托管標識進行身份驗證以訪問 Azure 服務總線資源

當安全主體（用戶、組或應用程序）嘗試訪問服務總線實體時，必須對請求進行授權。使用 Azure AD，訪問資源的過程分為兩個步驟。

• 首先，對安全主體的標識進行身份驗證，并返回 OAuth 2.0 令牌。用于請求令牌的資源名稱為 。https://servicebus.azure.net
• 接下來，令牌將作為請求的一部分傳遞給服務總線服務，以授權對指定資源的訪問。

安全主體（用戶、組或應用程序）打開標識

打開托管標識要使用具有托管標識的服務總線，需要將標識、角色和適當?shù)姆秶?/p>

• 進入設置并選擇標識。
• 選擇要打開的狀態(tài)。
• 選擇“保存”保存設置。

例

啟用此設置后，將在 Azure Active Directory （Azure AD） 中創(chuàng)建新的服務標識，并將其配置到應用服務主機中

被訪問的服務（存儲，隊列等）

配置訪問控制（IAM）,進行角色分配

官網(wǎng)
https://docs.microsoft.com/en-us/azure/service-bus-messaging/service-bus-managed-service-identity

托管標識術語

• 客戶端ID - Azure AD生成的唯一標識符，在其初始預配期間與應用程序和服務主體綁定。
• 主體ID-托管標識的服務主體對象的對象ID，用于授予對Azure資源的基于角色的訪問權限。
• Azure實例元數(shù)據(jù)服務(IMDS)-一個REST終結點，可供通過Aure資源管理器創(chuàng)建的所有l(wèi)aaS VM使用。該終結點位于已知不可路由的IP地址(169.254.169.254)，該地址只能從VM中訪問。

在Azure AD中注冊和管理應用程序

Azure AD應用程序管理

Azure AD應用程序管理 比喻：提供一個界面，將所有應用程序快捷方式放到這個界面

Azure AD是一個標識和訪問管理(IAM)系統(tǒng)。它提供了一個用于存儲數(shù)字標識相關信息的單一位置。你可以將軟件應用程序配置為使用Azure AD來作為存儲用戶信息的位置。
Azure AD必須配置為與應用程序相集成。換句話說，它需要知道哪些應用程序正在將它用作標識系統(tǒng)。使Azure AD意識到這些應用程序的存在以及應如何處理它們的過程稱為"應用程序管理"。

Azure AD應用程序管理存在的目的是為了單一登錄(SSO)

單一登錄意味著用戶無需登錄使用的每個應用程序。用戶登錄一次，該憑據(jù)也可用于其他應用。
如果你是最終用戶，可能并不關心SSO的詳細信息。你只想使用能提高工作效率而無需頻繁輸入密碼的應用?？稍谝韵挛恢谜业綉?https://myapps.microsoft.com 。

創(chuàng)建第一個密鑰保管庫證書

創(chuàng)建第一個密鑰保管庫證書

步驟 1 - 證書頒發(fā)機構 （CA） 提供程序

• 作為 IT 管理員、PKI 管理員或任何管理 CA 帳戶的人員，為給定公司（例如 Contoso）載入是使用密鑰保管庫證書的先決條件。
• 以下 CA 是當前與密鑰保管庫合作的提供商。在此處了解更多信息
  1：DigiCert - Key Vault 提供帶有 DigiCert 的 OV TLS/SSL 證書。
  2：GlobalSign - Key Vault 提供帶有 GlobalSign 的 OV TLS/SSL 證書。

步驟 2 - CA 提供商的帳戶管理員創(chuàng)建供密鑰保管庫使用的憑據(jù)，以便通過密鑰保管庫注冊、續(xù)訂和使用 TLS/SSL 證書。

步驟 3 - Contoso 管理員以及擁有證書的 Contoso 員工（密鑰保管庫用戶）可以從管理員或直接從 CA 的帳戶獲取證書。具體取決于 CA。

使用與密鑰保管庫合作的 CA 創(chuàng)建證書

步驟 4 - 以下說明對應于上圖中綠色編號的步驟。
（1） -在上圖中，應用程序正在創(chuàng)建一個證書，該證書從內部開始，在密鑰庫中創(chuàng)建密鑰。
（2） -密鑰保管庫向CA發(fā)送TLS/SSL證書請求。
（3） -您的應用程序在循環(huán)等待過程中輪詢密鑰庫以完成證書。密鑰庫收到CA對x509證書的響應時，證書創(chuàng)建完成。
（4） -CA使用X509 TLS/SSL證書響應密鑰庫的TLS/SSL證書請求。
（5） -新證書的創(chuàng)建隨著CA的X509證書的合并而完成。

使用未與密鑰保管庫合作的 CA 創(chuàng)建證書

以下步驟說明與上圖中的綠色字母步驟相對應。
（1） -在上圖中，您的應用程序正在創(chuàng)建證書，該證書從內部開始，在密鑰庫中創(chuàng)建密鑰。
（2） -密鑰庫會向應用程序返回證書簽名請求certificate signing request（CSR）。
（3） -您的應用程序將CSR傳遞給您選擇的CA。
（4） -您選擇的CA以X509證書響應。
（5） -您的應用程序通過合并CA的X509證書來完成新證書的創(chuàng)建。文章來源地址http://www.zghlxwxcb.cn/news/detail-440672.html

到了這里，關于ZA303學習筆記六管理應用程序的安全（密鑰保管庫，托管標識，管理應用程序，CA證書）的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！