前言回顧

技能解封最終對決-卷軸祕文添加神秘色彩(Azure Static Data Encryption & SAS

已領取技能符石

解封技能樹(Start)

適合的勇者？

曾經遭逢資安事件打擊者。

資安事件觀望者。

資安探索者。

IT過路人。

資安潛水幫。

資安擺渡人。*

學完可以帶走甚麼？

種下資安的芽在自己心中讓資安意識更強大。

自己的資安生涯規劃師。

帶走心中的這棵樹，把樹傳出去。

你也可以是小小資安擺渡人。

單挑資安認證更有信心。

泰瑞爾 vs 巴爾

找到傳說堡壘秘文陣地

在天使城連接西岸處有個時空的遺忘之石，在先人歷經的千古戰役中留下的這塊足跡，原來是為了掠奪一個牛之角時而遺漏掉的一份地圖捲軸，上面清楚的紀錄了能打通與地底一萬尺的洞穴中都被符陣中所封印著，如果沒有透過受洗過認證過的使者想要破壞此是難上加難，天使城中的主帥泰瑞爾決定親征帶幾個將士與秘術士希望能把天使城這樣重要的產物能完整被保留不受侵略，而開啟了尋找遺忘之石的旅程，回到人類聽得懂的代名詞"金鑰保存庫"小弟先簡述一下此服務究竟為何？

Key Vault 顧名思義直翻中文就叫金鑰保存庫，針對金鑰集中化統一儲存管控如像應用程式本身金鑰密碼。來大幅降低其洩密外流的風險。同時程式開發人員也無須在應用程式的程式碼中儲存任何密碼以降低網站本身與作業流程相關安全風險。

Azure Key Vault 可以帶給我們甚麼好處？

• 集中管理應用程式秘密金鑰
• 安全儲存秘密金鑰，使用硬體安全性模組(HSM)經美國聯邦資訊處理標準(FIPS)140-2 Level 2 來做驗證外也同時支援 AAD 的角色型存取控制(RBAC)授權控制或 Key Vault 本身的存取原則。
• 監視存取和使用，啟用紀錄並支援放到至儲存體，串流至事件中樞或最常用將記錄送至 Log 分析服務中。
• 簡化應用程式祕密管理，簡單說就是本身不用具有硬體安全性模組的知識含金量就能上手，且也能因應需求彈性擴增以符合企業組織高負載量時之所需。另外也支援做區域資料複寫以確保高可用性，並無須人工介入下來做容錯移轉保護確保服務持續性。
• 其他 Azure 服務整合
  1. Disk Encryption
  2. SQL Server
  3. Azure SQL Database(Always Encrypted)
  4. App Service。
  5. Storage Account
  6. Event Hub。

Key Vault 可解決那些情境需求：

• 祕密管理 - 安全地儲存權杖、密碼、憑證、API 金鑰等其他祕密並透過權限來做存取控制
• 金鑰管理 - 簡單易用建立和控制對資料實行的加密金鑰。
• 憑證管理 - 簡單佈建管理和你企業內部的連線應用系統所需的 SSL 憑證。
• 硬體安全模型 - 其祕鑰除上述軟體式的保護外也支援透過 FIPS 140-2 Level 2 驗證的 HSM 做保護。

Key Vault 建置到應用程式提取密鑰流程
從 Step 4 就可以明顯看出從原本分享 URI 裡面會包含密鑰的部份已經拿掉，取而代之的是透過 Step5 到 Step6 在跟金要保存庫提取做加解密的過程，大大增強資料的安全性。

Key Vault from AAD 的驗證流程

1. 一開始用戶透過 Azure AD 來註冊應用程式。
2. 註冊完成後對應用程式給予一組租戶ID與身份密鑰。
3. 應用程序想透過 Key Vault 來做身份驗證程序，透過 Azure AD 請求授權 Token 讓註冊過程中能同時收到租戶ID 和密鑰。
4. 最後 Azure AD 才向應用程式給予一組暫時性 Token 並透過此 Token 才讓 Key Vault 來進行驗證作業。
   

腦補 Key Vault 小辭典

• Tenant(租用戶)：擁有專屬自己的雲服務組織如：garylabhotmail.onmicrosoft.com 這組織目錄下的服務均屬於此專屬用戶使用。常見如：Azure / Office 365。
• Tenant ID(租用戶識別碼)：對 Azure 訂閱帳戶中 Azure AD 帳戶的唯一識別碼，可以想成監獄犯都有自己的 ID一樣好管理。
• Vault Owner(保存庫擁有者)：對此服務有完整存取控制權力。包含可設定稽核祕鑰存取人員並執行金鑰版本變更、備份金鑰等相關運帷工作。
• 保存庫取用者：被擁有者指派權限層級來因應對對金鑰保存庫能賦予執行的動作行為。
• 資源：常見如：Azure VM、Storage Account、webApps、SQL 等...
• 資源群組(Resource Group)：就是能放置 Azure 所有服務的容器。可針對於組織最適當的方式將資源分配到指定的群組中。
• 服務主體(Service Principal)：就是一種特定的角色身分識別，可供用戶透過應用程式服務來存取指定的 Azure 資源。控制權不同於一般用戶身分識別，服務主體僅授與執行特定工作行為所需的最低許可權限，來降低其安全性。
• Azure Active Directory (Azure AD)：屬於租用戶的一種目錄服務。每個目錄都有一個到多個網域，也可以有多個關聯的訂閱帳戶但只能唯一的租用戶(一開始申請的大家長)。
• 受控識別：Key Vault 保存庫可儲存認證密鑰，當應用程式須向 Key Vault 做驗證時才可取得此認證密鑰做比對進而做加解密動作。而此服務用意就是能更方便在 Azure AD 中自動將受控識別提供給 Azure 服務，這些服務透過識別直接向 Key Vault 進行驗證而無須透過程式碼中來做使用。

補充：金鑰保存庫服務本身也屬於在虛擬網路間做傳輸，故也能受到 Azure Firewall 及 虛擬網路規則的限制只能從特定虛擬網路、子網路或指定 IP Address 來做存取。不過此限制只能適用於 Key Vault 的控制本身但不能限制到金鑰保存庫內的密鑰和憑證等資料本身。

圖一就可以簡單看到上述的存取規則分別對於實際用戶從金鑰，秘密(Key)到憑證都有非常精細的作業權限。

圖二也就顯示了網路存取是可以透過指定的網路端點以及後續防火牆來做安全控制的。

實作工坊

而光說不練怎麼行，實驗環境中會把持續關注的你/妳帶到小弟我的 wordpress.com Blog連結內容如下：

技能解封最終對決-卷軸解封金鑰重鎮(Azure Key Vault)

1. Azure Key Vault 成本計價。
2. Azure Key Vault Q&A。
3. 簡易實作體驗。

上屆鐵人主題

如果有興趣對您有幫助也請多多支持，歡迎給小弟建議或互相交流!

Google Cloud 勇者的試煉

玩轉 Azure 於指尖隨心所欲