問題タブ [azure-keyvault]

私の pfx ファイルは Azure キー コンテナーにインポートされました。キーバンドルとして戻すと、公開キーのみが含まれます。Azure Key Vault を使用して itextsharp によって PDF ドキュメントに署名する方法

透過的なデータ暗号化が有効になっており、キー管理にAzure Key Vaultを使用しているAzure の SQL Server について考えてみましょう。データは保存時に <whatever> 国の Azure データ センターで暗号化されますが、Key Vault はオンプレミスのお客様のデータ センターに置かれます。アプリケーション (これも Azure でホストされているため、物理的に国を問わず配置されている) は、Key Vault へのラウンドトリップが成功した時点からデータベースにアクセスできます。

1. データ アクセスがバインドされているエンティティ (対称キーを保持しているエンティティ) は? すべての受信接続が暗号化されていないデータを見ることができるように、対称キーを保持するのはデータベースですか? それとも、新しい接続が確立されるたびにデータベースが Key Vault に再接続するように、キーは接続ごとに保存されますか?
2. オンプレミスの Key Vault をシャットダウンするだけで、データベース アクセスをシャットダウンできるようにしたいと考えています。つまり、データ センターに何が起こっても、クラウド内のデータ アクセスは常に Key Vault から停止できます。キーがどこかにキャッシュされているため、データを復号化できます。たとえば X 秒後に強制的にキャッシュをタイムアウトさせて、データベースを強制的に Key Vault に再接続し、キーを再度要求することはできますか? これにより、Key Vault をシャットダウンして、これらの X 秒後にデータを役に立たなくすることができます。

KMIP プロトコルを使用してキー管理サーバーと通信できるアプリケーションを Azure で実行したいと考えています。Azure Key Vault は KMIP をサポートしていますか? もしそうなら、私は詳細を見つけることができましたか？

Azure Key Vault (または AWS KMS) が提供するセキュリティ上の利点を理解しようとしています。

キー アクセスを簡単にローテーション、変更、監査できるキー管理の利点を理解しています。

しかし、私を少し困惑させているのは、それがどのように安全であるかということです.

私が理解しているように、Web アプリケーションを開発し、接続文字列を保護したい場合 (たとえば)、Key Vault でキー ペアを作成してそこに保存できます。次に、AAD でアプリケーションを作成し、クライアント ID/シークレット/URI を使用して Key Vault に対する認証を行い、接続文字列を取得します。また、リソース グループごとにさらに制限する利点もあります。

ただし、これは、保護するクライアント ID/シークレット/URI があることを意味します。

これはどのように良いですか？

PS 私は開発者ではありません! DevOps の観点からそれらを理解するために、これらのことを調べてみたいと思います。したがって、典型的な無知な運用担当者に答えを向けることができれば、それはありがたいです;)