Azure Key Vault ist ein Cloud-Dienst zur zentralisierten Speicherung von sensiblen Informationen wie API-Schlüsseln, Passwörtern oder Zertifikaten.
Oft werden sensible Daten wie Passwörter oder Verbindungsstrings zu SQL-Datenbanken direkt in der Konfiguration entsprechender Anwendungen gespeichert, etwa in „web.config“ bzw. „app.config“ oder in Umgebungsvariablen und Konfigurationen von App Services oder Container Apps (oder noch schlimmer – direkt im Quellcode), oft im Klartext und ohne angemessene Zugriffskontrolle.
Azure Key Vault bietet eine wesentlich sicherere Lösung: In Azure Key Vault kannst du deine Daten verschlüsseln, festlegen, wer darauf zugreifen darf, nachverfolgen, was damit passiert ist, und deine Daten vor unbefugtem Zugriff schützen.
Was sind die Vorteile von Azure Key Vault?
- Die Daten werden zentral an einem Ort gespeichert und verwaltet. Wie immer empfehlen wir eine Trennung nach Anwendung, Funktion und Umgebung (etwa Entwicklung, Test und Produktion). Das erhöht nicht nur die Kontrolle und den Überblick über die gespeicherten Daten, sondern reduziert auch die Risiken eines Cross-Environment-Zugriffs.
- Die Informationen können auf Wunsch mit den von Azure Key Vault unterstützten Verschlüsselungsalgorithmen und Schlüsseltypen geschützt werden.
- Das Wichtigste: Du kannst bestimmen, welche User bzw. welche Azure-Dienste und Anwendungen auf die Daten in Azure Key Vault zugreifen können.
- Entscheidend für die Sicherheitsüberwachung und Compliance: Über die Aktivitätsprotokolle von Azure Key Vault kann der Zugriff auf die gespeicherten sensiblen Daten jederzeit überwacht und nachverfolgt werden.
Wie verwende ich Azure Key Vault?
Die Passwörter und Schlüssel aus Azure Key Vault können aus jeder Anwendung z. B. über REST-API oder das entsprechende .NET SDK sehr einfach abgerufen oder sogar aktualisiert werden – vorausgesetzt, die Anwendung ist entsprechend berechtigt. Hierfür gibt es mehrere Authentifizierungsmethoden, die je nach Anwendungsszenario und Sicherheitsanforderungen gewählt werden können:
Managed Identity
Dies ist die von uns bevorzugte Methode für die meisten Anwendungen, da sie einfach zu verwalten ist und keinen zusätzlichen Overhead für die Handhabung von Sicherheitsanmeldeinformationen erfordert. Managed Identities sind in Azure-Diensten wie App Service und Azure Functions direkt integriert und bieten einen nahtlosen und sicheren Zugriff auf Key Vault.
Service Principal
Mit einem Service Principal in Entra ID kann der Zugriff auf die Informationen im Azure Key Vault mithilfe der App-Registrierung in Entra ID erfolgen – wie bei App-Registrierungen üblich – mit einem Anwendungsgeheimnis (Client Secret) oder einem Zertifikat. Dabei ist die Verwendung eines Client Secrets weniger sicher als die Zertifikatmethode, wird aber aufgrund seiner Einfachheit viel zu häufig verwendet.
Kosten
Die Kosten für die Nutzung von Azure Key Vault sind sehr gering und damit für alle Arten von Projekten zugänglich. Besser gesagt: Aktuelle Preismodelle zeigen, dass die Nutzung fast kostenlos ist ($0.03 pro 10.000 Transaktionen), was die Entscheidung zur Nutzung dieses Services weiter erleichtert.
Fazit
Azure Key Vault ist mittlerweile eine unverzichtbare Komponente für moderne Anwendungen, die auf Azure gehostet werden. Mit seiner Hilfe können Entwickler sicherstellen, dass ihre sensiblen Daten gut geschützt sind und den besten Sicherheitspraktiken entsprechen. Durch die Nutzung von Managed Identities und der Integration in andere Azure-Dienste bietet Key Vault eine robuste, skalierbare und sichere Lösung für das Management von Schlüsseln, Verbindungen und Passwörtern.
