在应用程序配置上使用Azure密钥库有意义吗?
是的,是的,我知道-它们是免费的,秘密的密钥库,应用程序配置。。。好吧,应用程序配置。
但是,考虑到它们都是加密的,基本上是为了让某人看到秘密或配置值,他们必须访问你的azure门户(这是一个低级的坏人场景(。
ONLY我看到的区别是,您可以在vault和配置之间以不同的方式控制权限,但除此之外,如果有未经授权的人访问您的门户,您会遇到更大的问题。
为什么?请只有好的和真正的论点没有";因为你应该";或";因为人X这样说";,我使用密钥保管库会获得哪些应用配置所没有的好处?
我很感谢你的提问。我会把它重新表述为:
Q( 密钥库和应用程序配置是如何设计不同以支持不同目的的?在哪里可以找到功能和优点的清晰比较表?
我也很感激你的旁白:
请只有好的和真正的论点没有"因为你应该";或"因为人X这样说";,使用密钥保管箱我能获得什么好处我在应用程序配置中没有?
以下是我发现的对比优势:
文章1:什么是Azure应用程序配置?
应用程序配置补充了用于存储应用程序机密的Azure密钥库。应用程序配置使更容易实现以下场景:
- 为不同的环境和地理位置集中管理和分发分层配置数据
- 动态更改应用程序设置而无需重新部署或重新启动应用程序
- 实时控制功能可用性
文章2:使用密钥库进行密钥管理
使用密钥保管库进行密钥管理
如果没有对密钥进行适当的保护和管理,加密就会变得毫无用处。密钥保管库是Microsoft推荐的解决方案,用于管理和控制对云服务使用的加密密钥的访问。访问密钥的权限可以通过Azure Active Directory帐户分配给服务或用户。
密钥保管库使组织无需配置、修补和维护硬件安全模块(HSM(和密钥管理软件使用密钥保管库时,可以保持控制Microsoft永远看不到您的密钥,应用程序也无法直接访问这些密钥您还可以在HSM中导入或生成密钥。
文章3:具有软删除和清除保护的Azure密钥保管库恢复管理
软删除和清除保护是两种不同的关键保险存储恢复功能。
我认为您不应该忽视这样一个事实,即拥有应用程序服务配置的人可以看到这些秘密。您公司的开发人员可以访问生产应用程序服务进行漏洞调查,但这并不意味着他可以访问生产机密。一名员工的笔记本电脑(可以访问Azure Portal(被黑客入侵的事实不一定意味着";访问您的应用程序的每一个秘密";。
但是从(正如你已经知道的上面(,我看到了什么区别:
- 更好的治理和访问监控:您有日志来查看谁试图访问每个秘密,何时以及如何访问,这是您在应用程序服务中无法做到的
- 更好的秘密管理:所有秘密都存储在一个地方,当一些秘密在多个应用程序服务中共享(由(时,您只需在密钥库中修改一次,而不是在每个应用程序服务配置中修改
- 一些高级机制,如恢复管理和清除保护
- 更好的开发体验:在调试应用程序时,如果您的用户可以访问密钥库,他只需运行将密钥库中的密钥加载到配置中的应用程序,而不是在本地手动复制azure应用程序设置中的密钥