Michaël Hompus Principal developer,

Presentatie over: "Michaël Hompus Principal developer,"— Transcript van de presentatie:

1 Michaël Hompus Principal developer, Winvision @eNeRGy164
Gebruik Azure Key Vault in je applicaties en zorg dat niemand achter je geheimen komt Michaël Hompus Principal developer, Winvision @eNeRGy164

2 Agenda Wat is Azure Key Vault?
De Key Vault Client in je eigen applicatie Azure Key Vault configuration provider Azure Disk Encryption Azure Key Vault Storage Account Keys

3 Wat is Azure Key Vault?

4 Wat is Azure Key Vault? “Gebruik Azure Key Vault om sleutels en kleine geheimen zoals wachtwoorden te versleutelen met sleutels die zijn opgeslagen in Hardware Security Modules (HSM’s)”

5 Wat is Azure Key Vault? Dienst voor opslag van geheimen
Bewerkingen vinden plaats in een HSM “a Hardware Security Module is a physical computing device that safeguards and manages digital keys for strong authentication and provides cryptoprocessing” Geheimen zijn benaderbaar via RESTful URLs GET GET POST Verschillende API’s REST, PowerShell, Azure CLI 2, .NET, Java, Node.js

6 Configuratie in de applicatie
Developer Database Web App

7 Key Vault als secret store
Developer Database Web App Key Vault

8 Een Key Vault voor elke omgeving
Developer !!! ??? Admin Database Web App Key Vault DEV Web App Key Vault Database PROD

9 Een Key Vault voor elke omgeving
PFEW! Developer OOPS! Admin Database Web App Key Vault DEV Web App Key Vault Database PROD

10 Wat is Azure Key Vault niet?
De heilige graal Security blijft een keten van maatregelen Key Vault kan in veel scenario’s een belangrijke bijdrage leveren

11 demo Key Vault in de Portal

12 Aanmaken Key Vault

13 Aanmaken Key Vault Pricing tier

14 Aanmaken Key Vault Access policies

15 Aanmaken Key Vault Advanced access policy

16 Aanmaken geheimen

17 Aanmaken geheimen Keys

18 Aanmaken geheimen Secrets

19 Aanmaken geheimen Certificates

20 De Key Vault Client in je eigen applicatie

21 De Key Vault Client in je eigen applicatie
NuGet package Microsoft.Azure.KeyVault

22 demo Key Vault Client in Azure Functions

23 Key Vault Client in Azure Functions Secret
Maak een Azure AD applicatie aan Voeg key toe aan AD applicatie Geef AD applicatie rechten op Key Vault Voeg Key Vault Client toe aan je applicatie Stel URL, App ID & Secret in Lees geheimen uit

24 Key Vault Client in Azure Functions Certificaat
Maak een Azure AD applicatie aan Voeg certificaat toe aan AD applicatie Geef AD applicatie rechten op Key Vault Voeg Key Vault Client toe aan je applicatie Stel URL, App ID & Thumbprint in Lees geheimen uit

25 Key Vault Client in Azure Functions Managed Identity
Maak een Managed Identity aan Geef Managed Identity rechten op Key Vault Voeg Key Vault Client toe aan je applicatie Voeg Azure Service Token Provider toe aan je applicatie Stel URL in Lees geheimen uit

26 Azure Key Vault configuration provider

27 Azure Key Vault configuration provider
Gebaseerd op de Configuration API van ASP.NET Core NuGet package Microsoft.Extensions.Configuration.AzureKeyVault Configuratie instellingen in Key Vault Simple secrets are created as name-value pairs Hierarchical values (configuration sections) use -- (two dashes) as a separator in the sample (and swapped for a colon when the secrets are loaded into the app's configuration)

28 demo Key Vault configuration provider

29 Azure Key Vault configuration provider
Voeg de NuGet package aan de applicatie toe Vul de Key Vault met instellingen Stel URL, App ID & Thumbprint in Lees geheimen uit

30 Azure Disk Encryption

31 Azure Disk Encryption Encryptie van IaaS VM OS en/of data disks
Alleen voor ondersteunde OS’en Windows Server: 2008 R2, 2012, 2012 R2, and 2016 Windows client: 8 and 10 Linux*: Ubuntu, RHEL, CentOS, openSUSE, and SLES * Only certain Azure Gallery based versions

32 Azure Disk Encryption Toegang tot Key Vault
read sp_id sp_password \ <<< $(az ad sp create-for-rbac --query [appId,password] -o tsv) az keyvault set-policy \ --name $keyvault_name \ --spn $sp_id \ --key-permissions wrapKey \ --secret-permissions set

33 Azure Disk Encryption Encrytie sleutel maken
az keyvault key create \ --vault-name $keyvault_name name $encryptionkey_name \ --protection software

34 Azure Disk Encryption Encryptie inschakkelen
az vm encryption enable \ --resource-group $resourcegroup_name \ --name $vm_name \ --aad-client-id $sp_id \ --aad-client-secret $sp_password \ --disk-encryption-keyvault $keyvault_name \ --key-encryption-key $encryptionkey_name \ --volume-type all

35 Azure Disk Encryption Disk Encryption Key

36 Azure Disk Encryption Encrypting…

37

38 Azure Disk Encryption EncryptED

39 demo Azure Disk Encryption

40 Azure Disk Encryption

41 Azure Key Vault Storage Account Keys

42 Azure Key Vault Storage Account Keys
Key Vault beheert de keys van een Storage Account Intern, kan Key Vault bij de keys van een Storage Account De keys worden niet teruggegeven aan een aanvrager Key Vault genereert (roteert) de keys periodiek Werkt ook voor klassieke Storage Accounts Gebruik SAS definities voor toegang tot een Storage Account De SAS waarde, gemaakt op basis van een SAS definitie, wordt teruggegeven als een secret via de REST URL

43 demo Key Vault Storage Account Keys

44 Key Vault Storage Account Keys
Voeg Key Vault als Key Operator toe aan het Storage Account Maak een Managed Storage Account aan Maak SAS template definities Lees de SAS token uit alsof het een secret is Verbindt met het Storage Account

45 Vragen?

46 Resources Alle code van deze sessie Azure Key Vault
Azure Key Vault Azure Functions: Access KeyVault Secrets with a Cert-secured Service Principal principal/

47 Resources How to Store Secrets in Azure Key Vault Using .NET Core
Azure Key Vault configuration provider Azure Disk Encryption for Windows and Linux IaaS VMs Azure Key Vault Storage Account Keys