Azure Key Vault ist ein zentraler Service zur sicheren Speicherung von Geheimnissen, Schlüsseln und Zertifikaten. Der Service eliminiert die Notwendigkeit, Credentials im Code zu speichern.
Was ist Azure Key Vault?
Key Vault bietet drei Hauptfunktionen: Secrets Management für Passwörter und Connection Strings, Key Management für kryptographische Schlüssel und Certificate Management für SSL/TLS-Zertifikate.
Alle Zugriffe werden protokolliert und können mit Azure Monitor überwacht werden. RBAC und Access Policies kontrollieren, welche Anwendungen und Benutzer auf welche Secrets zugreifen dürfen.
Kernfunktionen
- Secrets: Sichere Speicherung von Passwörtern, API Keys, Connection Strings
- Keys: RSA und EC Schlüssel für Verschlüsselung und Signierung
- Certificates: Automatische Erneuerung und Integration mit CAs
- Soft Delete: Wiederherstellung versehentlich gelöschter Elemente
- Audit Logging: Protokollierung aller Zugriffe in Azure Monitor
Typische Anwendungsfälle
Key Vault eignet sich für jede Anwendung, die Secrets verwalten muss. Typische Szenarien sind Datenbank-Credentials für Web-Apps, API-Keys für externe Services und SSL-Zertifikate für Custom Domains.
Vorteile
- Keine Secrets im Quellcode oder Config-Dateien
- Zentrale Verwaltung aller Anwendungs-Geheimnisse
- HSM-Schutz für höchste Sicherheitsanforderungen
- Native Integration mit Azure Services via Managed Identity
Integration mit innFactory
Als Microsoft Solutions Partner unterstützt innFactory Sie bei Azure Key Vault: Security-Architektur, Secret-Rotation, HSM-Integration und Compliance-Implementierung.
Verfügbare Varianten & Optionen
Standard
- Software-geschützte Schlüssel
- Kosteneffektiv
- Alle Schlüsseltypen
- Kein HSM-Schutz
Premium
- HSM-geschützte Schlüssel
- FIPS 140-2 Level 2
- Hohe Sicherheit
- Höhere Kosten pro Operation
Typische Anwendungsfälle
Häufig gestellte Fragen
Was ist der Unterschied zwischen Secrets, Keys und Certificates?
Secrets sind beliebige Zeichenketten (Passwörter, Connection Strings). Keys sind kryptographische Schlüssel für Verschlüsselung/Signierung. Certificates sind X.509-Zertifikate mit automatischer Erneuerung.
Wie greife ich sicher auf Key Vault zu?
Verwenden Sie Managed Identities für Azure-Ressourcen. VMs, Functions und App Services können ohne explizite Credentials auf Key Vault zugreifen. Azure AD authentifiziert automatisch.
Unterstützt Key Vault automatische Secret-Rotation?
Ja, für einige Services wie Storage Account Keys. Für Custom Secrets können Sie Event Grid Trigger nutzen, um bei Ablauf automatisch neue Secrets zu generieren.
Was ist BYOK (Bring Your Own Key)?
BYOK ermöglicht den Import eigener HSM-geschützter Schlüssel in Key Vault Premium. Dies ist wichtig für Compliance-Anforderungen, die Kontrolle über Schlüssel-Generierung erfordern.
