Upgrade to Pro — share decks privately, control downloads, hide ads and more …

BASTA2020: Geheimniskrämerei in der Azure-Cloud mit dem Azure Key Vault

Manuel Meyer
September 22, 2020
Programming
0
590

BASTA2020: Geheimniskrämerei in der Azure-Cloud mit dem Azure Key Vault

Das Speichern von Geheimnissen, die von einer Anwendung benötigt werden, war schon immer eine Herausforderung. Eigentlich ist es ja ganz simpel: Alles was geheim ist, wird verschlüsselt. Die Verfahren sind bekannt und erprobt. Doof ist nur, dass der Schlüssel ja auch ein Geheimnis ist. Was machen wir dann mit dem Schlüssel? Mit einem Passwort den Schlüssel verschlüsseln? Moment, wir drehen uns gerade im Kreis. Der Azure Key Vault ist das Angebot der Azure-Cloud um dieses Problem zu lösen. In dieser Session schauen wir uns an, was der Key Vault ist und wie wir diesen in unserer Architektur verwenden.

Manuel Meyer

September 22, 2020
Tweet

More Decks by Manuel Meyer

See All by Manuel Meyer
DWX2021 - Hier kommst Du ned rein. ASP.NET Core APIs und Angular Security mit Azure
manuelmeyer
0
1.3k
DWX2021: Open-Source Intelligenz (OSINT) mit Big Data auf Azure - Geht das?
manuelmeyer
0
770
DWX2021 - Wir prügeln den Monolithen ins Web
manuelmeyer
0
720
BASTA2021 Hybrid: Azure ist überwältigend. Wie finde ich mich da nur zurecht?
manuelmeyer
0
960
Dev Days 2020: Wir prügeln den Monolithen ins Web
manuelmeyer
0
660
Von WPF nach Angular in 60 Minuten
manuelmeyer
0
790
ExpertsLIVE Switzerland 2020: How not to get lost in Azure?
manuelmeyer
0
700
Experts Live Europe 2019
manuelmeyer
0
740
Taking Control over your APIs with Azure API Management
manuelmeyer
0
710

Other Decks in Programming

See All in Programming
初心者のためのRubyKaigi入門/RubyKaigi Introduction
a_matsuda
2
760
GitHub Copilotのススメ
marcy731
1
200
dbtのドメイン分割による データ基盤の改善とDigdagとの連携
sakama
0
350
GraphQLサーバの構成要素を整理する #ハッカー鮨 #tsukijigraphql / graphql server technology selection
izumin5210
4
840
FigmaとPHPで作る1ミリたりとも表示崩れしない最強の帳票印刷ソリューション
ttskch
43
19k
Fast JSX: Don't clone props object #28768
yossydev
1
120
単体テストを書かない技術 #phpcon_odawara
o0h
PRO
27
8.3k
Anthropic Cookbook のおすすめレシピ
schroneko
7
980
Micro Frontends for Java Microservices - Devnexus 2024
mraible
PRO
0
490
Azure OpenAI Serviceのプロンプトエンジニアリング入門
tomokusaba
3
710
2 週間で Twitter Bot を作ってみた
contour_gara
0
510
ADRを一年運用してみた/adr_after_a_year
hanhan1978
7
2.4k

Featured

See All Featured
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
17
1.4k
What’s in a name? Adding method to the madness
productmarketing
PRO
16
2.6k
Imperfection Machines: The Place of Print at Facebook
scottboms
260
12k
Designing for humans not robots
tammielis
248
25k
Making Projects Easy
brettharned
108
5.5k
Unsuck your backbone
ammeep
663
57k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
2
3.4k
Optimizing for Happiness
mojombo
370
69k
How To Stay Up To Date on Web Technology
chriscoyier
782
250k
Into the Great Unknown - MozCon
thekraken
10
990
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
125
32k
The Art of Programming - Codeland 2020
erikaheidi
42
12k

Transcript

  1. Geheimniskrämerei in der Azure- Cloud mit dem Azure Key Vault

    Manuel Meyer Azure Solution Architect, Trivadis AG www.manuelmeyer.net @manumeyer1
  2. None
  3. None

  4. Vulnerabilities „Firewall Konfiguration“ „Betriebssytem- Bugs“ „Faule Sysadmins“ „Web Server Config“

  5. Applications 83% Operating Systems13% Hardware 4% VULNERABILITY CLASSIFICATION

  6. https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

  7. 2 Probleme: Der User & die IT-Leute

  8. Der User

  9. Mein Ansatz (früher) „Gleiches Passwort überall verwenden = NICHT GUT“

    1 Low Security Password: heybuddy24 1 High Security Passwort: htowi_fle98dk$$+djk(43.

  10. Mein Ansatz (heute) Keepass MFA.

  11. Mein Ansatz (heute) qhjp7n0Qdnctw87G5cPg Lkjsdk32lkö2dlkj3klj%&/lkjs() slkjsEWeio***djfkl1109823lskjwJ … Ein Ort für

    meine Passwörter Auto-Complete 439 Einträge.

  12. www.haveibeenpwned.com Troy Hunt

  13. None

  14. Azure Key Vault Übersicht 1. Speichern und schützen von “Geheimnissen”

    Keys, Secrets, Certificates 2. Geheimnisse anderen Apps und Services “zur Verfügung stellen”

  15. Basics ▪ Key ▪ Kryptographischer RSA Schlüssel ▪ Kann den

    Key Vault NIE verlassen! ▪ Apps müssen Ver-/Entschlüsselung und Signierung an den KV delegieren ▪ Secret ▪ Eine Sequenz von Bytes (unter 25kb) ▪ Authorisierte User schreiben secrets in den KV ▪ Authorisierte Apps lessen secrets vom KV ▪ Certificate.

  16. Basics Management Plane Data Plane “Verwalten von Geheimnissen” “Arbeiten mit

    Geheimnissen” RBAC KV Access Policy RBAC (Preview)

  17. Basics ▪ Software Protected Keys ▪ FIPS 140-2 Level 1

    ▪ HSM Protected Keys ▪ FIPS 140-2 Level 2 10k Operations = 0.03 EUR Cert Renewal: 2.53 EUR HSM Keys: 0.84 EUR/Mt. pro Key HSM Advanced: 4.22/Mt. pro Key.
  18. None
  19. None

  20. Azure Disk Encryption Encryption at Rest: ▪ SSE with PMK

    (default): Storage Service Encryption with Platform Managed Key ▪ SSE with CMK: Storage Service encryption with Customer Managed Key ▪ ADE: Azure Disk Encryption (OS Level) ▪ Windows: Bitlocker ▪ Linux: DM-Crypt

  21. IaaS Disk Encryption 1. VM Stoppen (Deallocated) 2. Im Key

    Vault Disk Encryption aktivieren 3. Schlüssel erstellen 4. Disk Encryption Set erstellen und im KV berechtigen 5. Disk dem Disk Encryption Set zuweisen.
  22. None
  23. None

  24. Azure Storage Encryption Encryption at Rest: ▪ PMK: Platform Managed

    Key (default) ▪ CMK: Customer Managed Key (a.k.a. BYOK) ▪ Client-Side Encryption.

  25. Digital Envelope, CEK, KEK, What??? Source: Nilay Parikh, https://blog.nilayparikh.com/azure/development/best-practices-client-side-encryption-with-azure-storage-services/

  26. Demo: Client Side Storage Encryption 1. Storage Account erstellen (erledigt)

    2. Applikation schreiben für Blob Upload: (erledigt: ClientSideEncryptionDemo) 3. Applikation im AAD registrieren (erledigt) Erstellt einen Service Principal (objectId, secret) 4. Applikation für die Verwendung des Service Principals konfigurieren (erledigt) 5. Schlüssel im KV erstellen “ClientSideEncryptionKey” 6. Eine KV Access Policy erstellen, damit die App den Schlüssen “ClientSideEncryptionKey” verwenden kann. 7. Applikation ausführen.
  27. None
  28. None

  29. Lets write some code! App

  30. www.shhgit.com

  31. Lets write some code! App

  32. Ziel: Kein Secret in Code/Config ▪ 1. Service Principal verwenden

    Wir brauchen ObjectId und Secret vom Service Principal im code ▪ 2. Verwenden einer Azure Managed Service Identity (MSI) Der App Service unterstützt die MSI.

  33. Demo: Kein Secret im Code/Config 1. Secret im Key Vault

    erstellen 2. AppService: Managed Identity Aktivieren 3. Key Vault: KV Access Policy für MSI erstellen 4. Code zur Abfrage des Secrets schreiben und deployen.
  34. None

  35. Zusammenfassung ▪ Der Key Vault speichert: ▪ Keys: Können nie

    mehr raus aus dem KV ▪ Secrets: Beliebige Zeichenketten ▪ Certificates: Zertifikate ▪ Verwaltung von Geheimnissen via “Management Plane” (Bspw. Azure Portal, abgesichert durch Azure RBAC) ▪ Verwendung der Geheimnisse über die Data Plane (REST API, abgesichert durch Key Vault Access Policies) ▪ Scenarios ▪ Key Vault für IaaS Disk Encryption ▪ Key Vault für Client Side Storage Encryption ▪ Key Vault um Geheimnisse aus dem Code zu entfernen. Mit einer MSI.

  36. Links ▪ Docs: https://docs.microsoft.com/en-us/azure/key-vault/ ▪ Key Vault Developer Guide: https://docs.microsoft.com/en-us/azure/key-

    vault/general/developers-guide ▪ Key Vault Diagnostics: https://zimmergren.net/azure-key-vault-diagnostics- who-accessing-your-vault/

  37. Thank you! Manuel Meyer www.manuelmeyer.net @manumeyer1 [email protected]