Key Vault の作成

Key Vault とは、Azure内に[暗号化キー][秘密キー]を管理するサービスです。
鍵の作成や削除、インポート、使用回数などが管理できます。
さらに、Thales製 HSM(Hardware Security Module)が利用可能です。

暗号解読に必要なものは[暗号化アルゴリズム]+[鍵]なのですが、
暗号化アルゴリズムである、RSA、AES、3DESのアルゴリズムは公開されているので、
いかにして「鍵」を守るのかが重要となります。

Key Vault は、次のような場合に活躍します。
・鍵の保管に不安がある。
・鍵のライフサイクルを安全に管理をしたい。
・クラウドアプリケーションの鍵を一箇所から管理したい。
・国や地域別に暗号化キーを管理したい。
・複数サーバーの鍵を安全に共有したい。
・複数管理者がいるが、鍵へのアクセスは適切に管理したい。

HSMを利用すると、下記のようなキケンから鍵を保護できます。
キケン①:鍵の受け渡し時に鍵を奪われるキケン
キケン②:鍵をメモリ上に展開した際に奪われるキケン


作成してみましょう!!

[+新規]ー[セキュリティ+ID]ー[Key Vault]を選択

名前:表示名
サブスクリプション:Azureサービスの提供範囲
リソースグループ:グループ名(複数のリソースを1つにグループ化する機能)
場所:デプロイするAzureのリージョン
価格レベル:違いはHSMの有無
アクセスポリシー:アクセスを許可する、ユーザーまたは、アプリケーションを選択
高度なアクセスポリシー:
ー展開に対してAzure Virtual Machinesへのアクセスを有効にする
ーテンプレートの展開に対してAzure Resource Managerへのアクセスを有効にする
ーボリューム暗号化に対してAzure Disk Encryptionへのアクセスを有効にする

以上、鍵保管庫の出来がり!


実際に Key Vault を利用したAzureソリューションはこちら

Azure Disk Encryption (Virtual Machine)
Always Encrypted (SQL Server,SQL Database)