通過對(duì)加密密鑰的存儲(chǔ)管理，Azure密鑰保管庫可以用作數(shù)據(jù)備份保護(hù)。讓我們來探討一下組織應(yīng)該如何建立并管理該密鑰庫。

　　數(shù)據(jù)存儲(chǔ)管理員總是竭盡全力的保護(hù)網(wǎng)絡(luò)服務(wù)器及其內(nèi)容，防范各類安全隱患。對(duì)于備份我們也必須給于同樣的重視，以確保它們不會(huì)成為一個(gè)安全性漏洞。畢竟，備份本質(zhì)上是一個(gè)組織數(shù)據(jù)的副本，但卻處在數(shù)據(jù)通常所在的服務(wù)器的保護(hù)界限之外。

[[169670]]

　　保護(hù)備份最簡單的方法之一是加密。但是，如果沒有周密的計(jì)劃，備份加密有可能會(huì)導(dǎo)致數(shù)據(jù)丟失。這里就需要用到微軟的Azure密鑰保管庫。

　　備份加密使用加密密鑰。在某個(gè)備份設(shè)備例如磁帶上可能會(huì)有一個(gè)軟件或硬件級(jí)別的密鑰。在任何情況下，加密的備份如果沒有加密密鑰就無法解密。想象這樣一種情況，一個(gè)組織創(chuàng)建了一系列的基于磁帶的加密備份，將他們送去異地保管，然后大火很不幸的燒毀了該組織的數(shù)據(jù)中心。然而，當(dāng)該組織取回其備份磁帶，想要恢復(fù)數(shù)據(jù)時(shí)，它必須有加密密鑰的副本才能對(duì)數(shù)據(jù)進(jìn)行解密，而這通常不會(huì)存在于備份磁帶上。如果他們沒有密鑰，該組織則最終失去的數(shù)據(jù)量，就跟數(shù)據(jù)從未被備份所損失的一樣多。

　　微軟Azure密鑰保管庫存儲(chǔ)加密密鑰

　　Azure密鑰保管庫是一個(gè)基于云的服務(wù)，專門用來存儲(chǔ)加密密鑰和其他加密信息，如SQL Server的連接字符串和密碼。它主要是使用聯(lián)邦信息處理標(biāo)準(zhǔn)驗(yàn)證的硬件安全模塊來實(shí)現(xiàn)的。

　　HSM是存儲(chǔ)并保護(hù)加密密鑰的物理設(shè)備。它們通常是一塊連接到網(wǎng)絡(luò)服務(wù)器的擴(kuò)展卡或外設(shè)。雖然HSM并不是什么新的東西，但直到最近幾年，微軟才讓基于云的HSM變?yōu)榭赡堋?/p>

　　我們必須了解，微軟Azure密鑰庫不僅僅存儲(chǔ)加密密鑰的備份副本，同時(shí)也管理應(yīng)用對(duì)于某個(gè)密鑰的訪問權(quán)限。這使得Azure密鑰庫可以安全地在云中存儲(chǔ)密鑰，并防止密鑰和其它加密信息的對(duì)外暴露。

　　設(shè)置Azure秘鑰保管庫

　　每個(gè)微軟Azure的客戶都可以創(chuàng)建一個(gè)專用的密鑰庫。由于組織擁有該Azure密鑰庫，所以對(duì)密鑰庫的使用就有著完全的控制。但是，創(chuàng)建一個(gè)密鑰庫僅僅是***步。管理員必須讓秘鑰庫能夠完全配合備份應(yīng)用。不幸的是，這里沒有標(biāo)準(zhǔn)的方法來做到，因?yàn)槊恳粋€(gè)應(yīng)用都是不同的。

　　讓備份應(yīng)用使用微軟Azure密鑰庫，管理員必須先在微軟Azure活動(dòng)目錄中注冊該應(yīng)用，然后使用Set-AzureRmKeyVaultAccessPolicy的cmdlet來授權(quán)該應(yīng)用使用密鑰庫。

　　在大多數(shù)情況下，其他的IT人員 - 如備份操作員 - 需要被授權(quán)才能使用Azure密鑰庫。舉個(gè)例子，存儲(chǔ)管理員可能需要授予IT人員添加密鑰到庫中的權(quán)限。Set-AzureRmKeyVaultAccessPolicy的cmdlet可用于執(zhí)行此任務(wù)。

　　訪問策略配置好之后，我們必須設(shè)置備份應(yīng)用來使用Azure密鑰保管庫。你需要使用Add-AzureKeyVaultKey的cmdlet來添加密鑰到庫中。如果備份應(yīng)用使用其他類型的密文，你可以使用Set-AzureKeyVaultSecret的cmdlet來設(shè)置。無論這兩種情況的哪一種，Azure都將提供對(duì)應(yīng)于該密鑰或密文的統(tǒng)一資源標(biāo)識(shí)符。想要使用密鑰庫及其中的密鑰，應(yīng)用必須提供用戶將密鑰的URI添加到應(yīng)用配置中的方式。

　　微軟讓一個(gè)Azure密鑰庫的建立以及增加新的密鑰和密文到密鑰庫的任務(wù)變得相對(duì)容易。盡管硬件安全模塊可以在本地使用，但這些裝置往往是頗為昂貴的，而微軟的Azure密鑰保管庫也許是個(gè)較為便宜的選擇。