7/25/2019 Azure Key Vault From Mreza.2015

1/2

TEHNOLOGIJE

Azure Key Vault

Jo jedna u skupu Bring your own usluga, Azure KeyVault, olakava proces upravljanja i kontrole kljuevaza pristup podacima - u sutini, Bring your own Key.U nastavku teksta predstavit emo uslugu Azure Key

Vault te objasniti gdje se i na koji nain ona koristi

TOMICAKANIKI

Prednosti i koritenjePrednosti koje nudi usluga Azure Key

Vault viestruke su - omoguuje se pri-stup kljuevima prema potrebi, oni suzatieni algoritmima u skladu s indu-strijskim standardima i HSM ureajima(certificiranim do FIPS 140-2 Level 2) tesu takoer kolocirani unutar podatkovnihcentara, to omoguuje veu pouzdanosti brzinu pristupa, a moda najvanijaprednost ove usluge jest ta da korisnicimogu dodavati i upravljati svojim klju-evima i pritom biti sigurni da Microsoft

i aplikacije, iako ih normalno koriste usvom radu, ne znaju niti e ikad saznatisadraj samih kljueva. Naravno, admini-strator upravlja svim svojim spremitimai kljuevima kroz jedinstveno suelje.

Pri koritenju usluge Azure Key Vaultarazlikujemo tri persone - administratorakoji upravlja kljuevima, programera kojiradi aplikaciju i koristi kljueve iz spre-mita te auditora koji nadgleda koritenjesamih kljueva.

Koritenje usluge je iznimno jedno-stavno - administrator se prijavljuje uAzure pretplatu, zatim kreira spremite

kljueva, i nakon toga odrauje opera-tivne zadatke kao to su kreiranje i uvozkljueva, brisanje kljueva, postavljanjeovlasti aplikacijama i korisnicima te nad-gledanje koritenja kljueva. Nakon to suspremite i kljuevi kreirani, administratorprogramerima daje URI (a ne vie klju),koji e oni pozvati iz svojih aplikacija itako pristupati kljuu u spremitu, beznjegova poznavanja. S druge strane, ad-ministratori takoer mogu jednostavnodelegirati nadgledanje koritenja kljue-va osobi ili osobama koje su zaduene

za sigurnost. Ovim modelom svaka odnavedenih osoba dobiva na uvid samoono to treba, a tajnost kljueva je u isto

Bitna komponenta smjetaja poda-taka u oblak i svojevrsni kamenspoticanja svakako je sigurnost

podataka. Ona je ostvarena uz pomoraznih kljueva i lozinki koje su najeepohranjene na relativno skupim HSMureajima, on-premise. Potencijalniproblemi pri koritenju takvih, lokalnospremljenih kljueva s aplikacijamau oblaku, mogu biti relativno velikitrokovi implementacije i odravanja,nedovoljna skalabilnost implementiranih

rjeenja, njihova dostupnost te brzinapristupa. S obzirom na to da se oblaknamee kao idealno rjeenje za skala-bilnost i dostupnost uz relativno niske

Spremi svoje kljueve

trokove, logino rjeenje navedenihproblema s kljuevima bilo bi i njihovosmjetanje u oblak. Upravo je zato, re-lativno nedavno, Microsoft nadopunioskup svojih usluga u oblaku uslugomupravljanja i uvanja kljueva za pristuppodacima - uslugom pod nazivom AzureKey Vault.

Ukratko, mogli bismo rei da se radi ousluzi koja omoguuje koritenje HSM(Hardware Security Module) ureajasmjetenih u Microsoftovom oblaku, usvrhu poveanja sigurnosti podataka,pristupa podacima te sigurnosti apli-kacija i virtualnih strojeva smjetenih u

oblaku. Ova usluga, trenutno u previewfazi i predstavlja nadogradnju postojeeAzure RMS bring-your-own-key(BYOK)usluge, jednog od temelja Officea 365.

60 WD MREA 2015

Ra prsi njihove uloge

Aur Ky Vau- tko to radi

Je li to zA mene?

S br a dausugu Aur Ky Vau

moete zatraiti i koristitive danas, nema razloga

da ju barem ne isprobateu svojim okruenjima.

Tako ete, uz ova dva

navedena scenarijakoritenja, zasigurno

pronai jo neki koji jemoda specifian ba

za vae okruenje. Prikoritenju usluge Azure

Key Vault svakako treba

imati na umu i cijenukoja se, za razliku

od implementacijesvog vlastitog HSM

rjeenja, moe pokazativrlo povoljnom i

pristupanom.

7/25/2019 Azure Key Vault From Mreza.2015

2/2

WD MREA 2015 61

stalirati i podesiti pripadajui konektor,a sama instalacija sadri i primjere kojiuvelike olakavaju samo koritenje oveusluge. Vano je napomenuti da kori-tenjem usluge Azure Key Vault, uz SQLservere koji su smjeteni na platformiMicrosoft Azure, dodatno moete zatititii svoje lokalne SQL servere, to pruaodreenu dozu fleksibilnosti i poveavavrijednost ovoj cloudusluzi.

vrijeme osigurana. Takoer, valja napo-menuti da svatko tko posjeduje Azure-ovu pretplatu, moe kreirati i upravljatispremitima kljueva, bez obzira na toradi li se o administratoru ili programe-ru, odnosno osobama kojima je uslugaprije svega namijenjena - ovime, uslugaupravljanja kljuevima vrlo jednostavnomoe biti delegirana administratoru kojiupravlja i ostalim Azureovim uslugamau organizaciji.

BitLocker u virtualnim

strojevima i jo sigurnijipristup SQL-u

Uz pohranu osjetljivih podataka (lozin-ki) koje koriste vlastite line-of-businessaplikacije u oblaku, jedan od zgodnihscenarija za koritenje usluge Azure KeyVault jest enkripcija podataka u samimvirtualnim strojevima - pritom ne mi-slimo na enkripciju datoteka virtualnihdiskova smjetenih na Microsoftovimposluiteljima, nego na enkripciju diskovaiz perspektive virtualnog stroja (recimo,koritenje BitLockera ili Linux ekvivalen-

tne enkripcije unutar virtualnog strojau Azureu, u svrhu zatite podataka nasistemskom disku). Kao to vjerojatnoznate, Microsoft trenutno ne podravakoritenje BitLockera za zatitu sistemskihdiskova iz isto tehnikih razloga - kori-snici nemaju mogunost pristupa TPMipovima (Trusted Platform Module) nakoje bi spremili svoje enkripcijske kljue-ve. Ovaj nedostatak moe predstavljatiozbiljan problem organizacijama kojeele preseliti svoje poslovanje u oblak,ali u isto vrijeme zahtijevaju i da njihovivirtualni strojevi smjeteni u oblaku ko-riste BitLocker. Kako bi se ovaj problemrijeio, razvijena su rjeenja poput Cloud-Link SecureVM rjeenja, koje virtualnimstrojevima u oblaku omoguuje enkrip-ciju sistemskog i/ili podatkovnih diskova,koristei Azure Key Vault za smjetajenkripcijskih kljueva. Uz navedeno,omoguuje se i autentikacija prije pokre-tanja virtualnog stroja, zatita integritetavirtualnih strojeva te integracija postojeihenterprise key management rjeenja ipolitika. Ovo rjeenje za svoj rad koristivirtualni appliance (CloudLink Center),

koji moe biti smjeten on-premiseili uoblaku, te agenta koji se instalira u sam

na sigurnovirtualni stroj koji titimo. Uz to,konfiguracija i povezivanje ovogrjeenja sa Azureom vrlo sujednostavni. Krajnji rezultat ko-ritenja ovog (ili slinih) rjeenjasu virtualni strojevi koji koristeBitLocker ili nativnu enkripciju,s enkripcijskim kljuevima po-hranjenim na sigurnom mjestu,u Azure Key Vaultu.

Drugi, takoer vrlo zanimljiv,scenarij uporabe ove usluge jestkoritenje Azure Key Vault u

kombinaciji s ugraenom Exten-sible Key Management (EKM)

mogunou SQL Servera, koja pruadodatnu zatitu kljueva koji se koristeu tehnologijama za zatitu podataka umirovanju - Transparent Data Encryption(TDE), Column Level Encryption (CLE) ipri izradi kriptiranih sigurnosnih kopijapodataka (encrypted backups). Kako biorganizacije imale veu fleksibilnost priupravljanju enkripcijskim kljuevima ipodacima te lake upravljale admini-stratorskim ovlastima,Extensible Key Manage-

ment omoguuje dodat-

nu zatitu simetrinihkljueva koritenih zaenkripciju podataka(asimetrinim) kljuem,koji je pohranjen kodvanjskog pruatelja us-luge (recimo, Azure KeyVault). Za povezivanjeSQL Servera s uslugomAzure Key Vault, do-voljno je preuzeti, in-

oguavaj a vruah srjvau Azureu uz

pomo rjeenja CloudLink SecureVM

igracja Aur Ky Vauai SQL Servera

Prjr krja Aur Ky Vauakroz PowerShell