Freigeben über

Zuverlässigkeit in Azure Key Vault

Azure Key Vault ist ein Clouddienst, der einen sicheren Speicher für Geheime Schlüssel, Kennwörter, Zertifikate und andere vertrauliche Informationen bereitstellt. Key Vault bietet eine Reihe integrierter Zuverlässigkeitsfeatures, um sicherzustellen, dass Ihre geheimen Schlüssel verfügbar bleiben.

Wenn Sie Azure verwenden, ist zustellbarkeit eine gemeinsame Verantwortung. Microsoft bietet eine Reihe von Funktionen zur Unterstützung von Resilienz und Wiederherstellung. Sie sind dafür verantwortlich, zu verstehen, wie diese Funktionen in allen von Ihnen verwendeten Diensten funktionieren, und die Funktionen auswählen, die Sie benötigen, um Ihre Geschäftsziele und Uptime-Ziele zu erfüllen.

In diesem Artikel wird beschrieben, dass Key Vault widerstandsfähig gegen eine Vielzahl potenzieller Ausfälle und Probleme ist, einschließlich vorübergehender Fehler, den Ausfall der Verfügbarkeitszone und Regionsausfälle. Es wird auch beschrieben, wie Sie Sicherungen verwenden können, um sich von anderen Arten von Problemen zu erholen, wie Wiederherstellungsfunktionen genutzt werden können, um versehentliche Löschungen rückgängig zu machen, und es werden wichtige Informationen zur Dienstgütevereinbarung (SLA) des Key Vault hervorgehoben.

Empfehlungen für die Produktionsimplementierung für Zuverlässigkeit

Für Produktionsarbeitslasten empfehlen wir Folgendes:

  • Verwenden Sie Standard- oder Premium-Schlüsseltresor.
  • Aktivieren Sie den Schutz vor vorläufigem Löschen und Löschen, um versehentliche oder böswillige Löschungen zu verhindern.
  • Bei kritischen Workloads sollten Sie strategien für mehrere Regionen implementieren, die in diesem Handbuch beschrieben werden.

Übersicht über die Zuverlässigkeitsarchitektur

Um eine hohe Haltbarkeit und Verfügbarkeit Ihrer Schlüssel, Geheimschlüssel und Zertifikate sicherzustellen, wenn ein Hardwareausfall oder Netzwerkausfall auftritt, stellt Key Vault mehrere Redundanzebenen bereit, um die Verfügbarkeit während der folgenden Ereignisse aufrechtzuerhalten:

  • Hardwarefehler
  • Netzwerkausfälle
  • Lokalisierte Katastrophen
  • Wartungsaktivitäten

Standardmäßig erreicht Key Vault Redundanz, indem es den Key Vault und seinen Inhalt in der Region repliziert.

Wenn die Region über eine gekoppelte Region verfügt und sich diese gekoppelte Region in derselben Geografie wie die primäre Region befindet, werden die Inhalte auch in die gekoppelte Region repliziert. Dieser Ansatz stellt eine hohe Haltbarkeit Ihrer Schlüssel und geheimen Schlüssel sicher, die vor Hardwarefehlern, Netzwerkausfällen oder lokalisierten Katastrophen schützt.

Resilienz für vorübergehende Fehler

Vorübergehende Fehler sind kurze, zeitweilige Fehler in Komponenten. Sie treten häufig in einer verteilten Umgebung wie der Cloud auf und sind ein normaler Bestandteil von Vorgängen. Vorübergehende Fehler korrigieren sich nach kurzer Zeit. Es ist wichtig, dass Ihre Anwendungen vorübergehende Fehler behandeln können, in der Regel durch Wiederholen betroffener Anforderungen.

Alle in der Cloud gehosteten Anwendungen sollten den Azure richtlinien für die vorübergehende Fehlerbehandlung befolgen, wenn sie mit allen in der Cloud gehosteten APIs, Datenbanken und anderen Komponenten kommunizieren. Weitere Informationen finden Sie unter Empfehlungen zur Behandlung vorübergehender Fehler.

Um vorübergehende Fehler zu behandeln, die auftreten können, sollten Ihre Clientanwendungen Wiederholungslogik implementieren, wenn sie mit Key Vault interagieren. Berücksichtigen Sie die folgenden bewährten Methoden:

  • Verwenden Sie die Azure SDKs, die in der Regel integrierte Wiederholungsmechanismen enthalten.

  • Implementieren Sie exponentielle Backoff-Wiederholungsrichtlinien, wenn Ihre Clients eine direkte Verbindung mit Key Vault herstellen.

  • Speichern Sie geheime Schlüssel im Arbeitsspeicher, wenn möglich, um direkte Anforderungen an Key Vault zu reduzieren.

  • Überwachen Sie auf Drosselungsfehler, da das Überschreiten der Dienstgrenzwerte von Key Vault zur Drosselung führt.

Wenn Sie Key Vault in Szenarien mit hohem Durchsatz verwenden, sollten Sie Ihre Vorgänge über mehrere Key Vaults verteilen, um Einschränkungsgrenzwerte zu vermeiden. Berücksichtigen Sie die Key Vault spezifischen Anleitungen für die folgenden Szenarien:

  • Ein Szenario mit hohem Durchsatz ist ein Szenario, das die service-Grenzwerte für Key Vault Vorgänge wie 200 Vorgänge pro Sekunde für softwaregeschützte Schlüssel nähert oder überschreitet.

  • Bei Workloads mit hohem Durchsatz teilen Sie Ihren Key Vault Datenverkehr zwischen mehreren Tresoren und verschiedenen Regionen auf.

  • Ein abonnementweites Limit für alle Transaktionstypen beträgt das Fünffache des Limits eines einzelnen Key Vaults.

  • Verwenden Sie einen separaten Tresor für jede Sicherheits- oder Verfügbarkeitsdomäne. Wenn Sie zum Beispiel fünf Apps in zwei Regionen haben, sollten Sie 10 Tresore verwenden.

  • Führen Sie Vorgänge für öffentliche Schlüssel wie Verschlüsselung, Umhüllung und Überprüfung lokal aus, durch Zwischenspeichern des öffentlichen Schlüssels.

Weitere Informationen finden Sie in Key Vault Drosselungsleitfaden.

Ausfallsicherheit bei Ausfällen von Verfügbarkeitszonen

Verfügbarkeitszonen sind physisch getrennte Gruppen von Rechenzentren innerhalb einer Azure Region. Wenn eine Zone ausfällt, erfolgt ein Failover der Dienste zu einer der verbleibenden Zonen.

Key Vault stellt Zonenredundanz in Regionen bereit, die Verfügbarkeitszonen unterstützen. Diese Redundanz bietet hohe Verfügbarkeit innerhalb einer Region, ohne dass eine bestimmte Konfiguration erforderlich ist.

Wenn eine Verfügbarkeitszone nicht verfügbar ist, leitet Key Vault Ihre Anforderungen automatisch an andere fehlerfreie Verfügbarkeitszonen weiter, um eine hohe Verfügbarkeit sicherzustellen.

Anforderungen

  • Region support: Key Vault ermöglicht standardmäßig Zonenredundanz in all Azure Regionen, die Verfügbarkeitszonen unterstützen.
  • Alle Key Vault SKUs, Standard und Premium unterstützen die gleiche Verfügbarkeit und Resilienz. Es gibt keine tierspezifischen Anforderungen, um die Zonenresilienz zu erreichen.

Kosten

Es gibt keine zusätzlichen Kosten für Zonenredundanz in Key Vault. Die Preise basieren auf der SKU, entweder Standard oder Premium, und der Anzahl der ausgeführten Vorgänge.

Verhalten, wenn alle Zonen fehlerfrei sind

In diesem Abschnitt wird beschrieben, was Sie erwarten müssen, wenn sich Schlüsseltresor in einer Region befinden, in der Verfügbarkeitszonen vorhanden sind und alle Verfügbarkeitszonen betriebsbereit sind:

  • Traffic-Routing zwischen Zonen: Key Vault verwaltet automatisch das Traffic-Routing zwischen Verfügbarkeitszonen. Während des normalen Betriebs werden Anforderungen transparent über Zonen verteilt.

  • Datenreplikation zwischen Zonen: Key Vault Daten werden synchron in Verfügbarkeitszonen in Regionen mit Zonenunterstützung repliziert. Diese Replikation stellt sicher, dass Ihre Schlüssel, geheimen Schlüssel und Zertifikate konsistent und verfügbar bleiben, auch wenn eine Zone nicht verfügbar ist.

Verhalten bei einem Zoneausfall

Im folgenden Abschnitt wird beschrieben, was zu erwarten ist, wenn sich die Schlüsseltresore in einer Region befinden, in der Verfügbarkeitszonen vorhanden sind und mindestens eine Verfügbarkeitszone nicht verfügbar ist.

  • Erkennung und Antwort: Der Key Vault-Dienst ist dafür verantwortlich, Zonenfehler zu erkennen und automatisch darauf zu reagieren. Während eines Zonenfehlers müssen Sie keine Maßnahmen ergreifen.
  • Benachrichtigung: Microsoft benachrichtigt Sie nicht automatisch, wenn eine Zone deaktiviert ist. Sie können jedoch Azure Resource Health verwenden, um den Status einer einzelnen Ressource zu überwachen, und Sie können Resource Health Alerts einrichten, um Sie über Probleme zu informieren. Sie können auch Azure Service Health verwenden, um den Gesamtstatus des Diensts zu verstehen, einschließlich aller Zonenfehler, und Sie können Service Health Alerts einrichten, um Sie über Probleme zu informieren.

  • Aktive Anforderungen: Während eines Zonenfehlers kann die betroffene Zone möglicherweise keine In-Flight-Anforderungen verarbeiten, was erfordert, dass Clientanwendungen sie erneut versuchen. Clientanwendungen sollten vorübergehende Fehlerbehandlungsmethoden befolgen, um sicherzustellen, dass sie Anforderungen wiederholen können, wenn ein Zonenfehler auftritt.

  • Erwarteter Datenverlust: Aufgrund der synchronen Replikation zwischen Zonen wird kein Datenverlust während eines Zonenfehlers erwartet.

  • Erwartete Ausfallzeiten: Bei Lesevorgängen sollte es während eines Zonenausfalls minimal bis gar keine Ausfallzeiten geben. Schreibvorgänge können vorübergehend nicht verfügbar sein, während sich der Dienst an den Zonenfehler anpasst. Lesevorgänge werden voraussichtlich während Zonenausfällen verfügbar bleiben.

  • Traffic rerouting: Key Vault leitet den Datenverkehr automatisch von der betroffenen Zone zu gesunden Zonen um, ohne dass ein Eingreifen des Kunden erforderlich ist.

Zonenwiederherstellung

Wenn die betroffene Verfügbarkeitszone wiederhergestellt wird, stellt Key Vault Vorgänge automatisch in dieser Zone wieder her. Die Azure-Plattform verwaltet diesen Prozess vollständig und erfordert keinen Kundeneingriff.

Widerstandsfähigkeit bei regionalen Ausfällen

Key Vault Ressourcen werden in einer einzelnen Azure Region bereitgestellt. Wenn die Region nicht verfügbar ist, ist Ihr Schlüsseltresor ebenfalls nicht verfügbar. Es gibt jedoch Ansätze, die Sie verwenden können, um die Ausfallsicherheit bei regionalen Ausfällen sicherzustellen. Diese Ansätze hängen davon ab, ob sich der Schlüsseltresor in einer gekoppelten oder nicht gekoppelten Region befindet und von Ihren spezifischen Anforderungen und Konfigurationen.

Von Microsoft verwaltetes Failover auf eine gekoppelte Region

Key Vault unterstützt die von Microsoft verwaltete Replikation und das Failover für Schlüsseltresore in den meisten gepaarten Regionen. Der Inhalt Ihres Schlüsseltresors wird automatisch sowohl innerhalb der Region als auch asynchron in die gepaarte Region repliziert. Dieser Ansatz gewährleistet eine hohe Dauerhaftigkeit Ihrer Schlüssel und Geheimnisse. Im unwahrscheinlichen Fall eines längeren Regionsausfalls kann Microsoft ein regionales Failover Ihres Schlüsseltresors initiieren.

Die folgenden Regionen unterstützen keine von Microsoft verwaltete Replikation oder Failover zwischen Regionen:

  • Brasilien Süd
  • Brasilien, Südosten
  • Westliches USA 3
  • Jede Region, die nicht über einen gekoppelten Bereich verfügt

Von Bedeutung

Microsoft löst von Microsoft verwaltetes Failover aus. Es ist wahrscheinlich, dass es nach einer erheblichen Verzögerung geschieht und mit größtmöglichem Einsatz durchgeführt wird. Es gibt auch einige Ausnahmen für diesen Prozess. Das Failover von Schlüsseltresoren kann zu einem Zeitpunkt auftreten, der sich von der Failover-Zeit anderer Azure-Dienste unterscheidet.

Wenn Sie ausfallsicher gegenüber Regionenausfällen sein müssen, sollten Sie eine der benutzerdefinierten Multi-Region-Lösungen zur Resilienz verwenden.

Sie können auch die Funktion Sichern und Wiederherstellen verwenden, um den Inhalt Ihres Vaults in eine andere Region Ihrer Wahl zu replizieren.

Überlegungen

  • Downtime: Während das Failover im Gange ist, ist Ihr Schlüsseltresor möglicherweise vorübergehend einige Minuten nicht verfügbar.

  • Schreibgeschützt nach Failover: Nach dem Failover wird der Schlüsseltresor schreibgeschützt und unterstützt nur eingeschränkte Aktionen. Sie können die Schlüsseltresoreigenschaften während des Betriebs in der sekundären Region nicht ändern, und Zugriffsrichtlinien und Firewallkonfigurationen können nicht geändert werden, während Sie in der sekundären Region arbeiten.

    Wenn sich Ihr Schlüsseltresor im schreibgeschützten Modus befindet, werden nur die folgenden Vorgänge unterstützt:

    • Auflisten von Zertifikaten
    • Abrufen von Zertifikaten
    • Geheimnisse auflisten
    • Abrufen geheimer Schlüssel
    • Auflisten von Schlüsseln
    • Abrufen (von Eigenschaften) von Schlüsseltresoren
    • Verschlüsseln
    • Entschlüsseln
    • Umschließen
    • Aufheben der Umschließung
    • Überprüfen
    • Signieren
    • Datensicherung

Kosten

Es gibt keine zusätzlichen Kosten für die integrierten Multi-Region-Replikationsfunktionen von Key Vault.

Verhalten, wenn alle Regionen funktionsfähig sind

Der folgende Abschnitt beschreibt, was Sie erwarten können, wenn sich ein Schlüsseltresor in einer Region befindet, die Microsoft-verwaltete Replikation und Failover unterstützt, und die primäre Region betriebsbereit ist.

  • Datenverkehrsrouting zwischen Regionen: Während des normalen Betriebs werden alle Anfragen an die primäre Region weitergeleitet, in der Ihr Key Vault bereitgestellt ist.

  • Datenreplikation zwischen Regionen: Key Vault repliziert Daten asynchron in die gekoppelte Region. Wenn Sie Änderungen an Ihren Schlüsseltresorinhalten vornehmen, werden diese Änderungen zuerst in der primären Region gespeichert und dann in die sekundäre Region repliziert.

Verhalten während eines Regionenausfalls

Im folgenden Abschnitt wird beschrieben, was Sie erwarten müssen, wenn sich ein Schlüsseltresor in einer Region befindet, die von Microsoft verwaltete Replikation und Failover unterstützt, und es gibt einen Ausfall in der primären Region:

  • Erkennung und Reaktion: Microsoft kann sich entscheiden, ein Failover durchzuführen, wenn die primäre Region verloren geht. Dieser Vorgang kann mehrere Stunden nach dem Verlust der primären Region oder länger in einigen Szenarien dauern. Failover von Schlüsseltresorn tritt möglicherweise nicht gleichzeitig mit anderen Azure-Diensten auf.
  • Benachrichtigung: Microsoft benachrichtigt Sie nicht automatisch, wenn eine Zone deaktiviert ist. Sie können jedoch Azure Resource Health verwenden, um den Status einer einzelnen Ressource zu überwachen, und Sie können Resource Health Alerts einrichten, um Sie über Probleme zu informieren. Sie können auch Azure Service Health verwenden, um den Gesamtstatus des Diensts zu verstehen, einschließlich aller Zonenfehler, und Sie können Service Health Alerts einrichten, um Sie über Probleme zu informieren.

  • Aktive Anforderungen: Während eines Regionsfailovers können aktive Anforderungen fehlschlagen, und Clientanwendungen müssen sie nach Abschluss des Failovers wiederholen.

  • Erwarteter Datenverlust: Möglicherweise gibt es einen Datenverlust, wenn Änderungen nicht in die sekundäre Region repliziert werden, bevor der primäre Bereich fehlschlägt.

  • Erwartete Ausfallzeiten: Während eines großen Ausfalls der primären Region ist Ihr Schlüsseltresor möglicherweise mehrere Stunden lang nicht verfügbar oder bis Microsoft ein Failover in die sekundäre Region initiiert.

    Wenn Sie Private Link verwenden, um eine Verbindung mit Ihrem Schlüsseltresor herzustellen, kann es bis zu 20 Minuten dauern, bis die Verbindung nach dem Regionsfailover erneut hergestellt wird.

  • Datenverkehrsumleitung: Nach Abschluss eines Regionsfailovers werden Anforderungen automatisch an die gekoppelte Region weitergeleitet, ohne dass ein Kundeneingriff erforderlich ist.

Benutzerdefinierte Lösungen mit mehreren Regionen für Resilienz

Es gibt Szenarien, in denen die von Microsoft verwalteten regionsübergreifenden Failoverfunktionen von Key Vault nicht geeignet sind:

  • Ihr Schlüsseltresor befindet sich in einer nicht zugeordneten Region.

  • Ihr Schlüsseltresor befindet sich in einer gekoppelten Region, die die von Microsoft verwaltete Replikation und Failover zwischen Regionen in Brasilien Süden, Brasilien Südosten und West-USA 3 nicht unterstützt.

  • Ihre Geschäftsbetriebsziele sind nicht mit der Wiederherstellungszeit oder dem Datenverlust zufrieden, den von Microsoft verwaltetes regionsübergreifendes Failover bereitstellt.

  • Sie müssen ein Failover zu einer Region ausführen, die nicht das Paar Ihrer primären Region ist.

Sie können eine benutzerdefinierte regionsübergreifende Failoverlösung entwerfen, indem Sie die folgenden Schritte ausführen:

  1. Erstellen Sie separate Schlüsseltresore in verschiedenen Regionen.

  2. Verwenden Sie die Sicherungs- und Wiederherstellungsfunktionen, um konsistente geheime Schlüssel in allen Regionen aufrechtzuerhalten.

  3. Implementieren Sie eine Logik auf Anwendungsebene, um zwischen Schlüsseltresoren bei einem Ausfall umzuschalten.

Sichern und Wiederherstellen

Key Vault kann einzelne geheime Informationen, Schlüssel und Zertifikate sichern und wiederherstellen. Sicherungen sollen Ihnen eine Offlinekopie Ihrer geheimen Schlüssel im unwahrscheinlichen Fall bereitstellen, dass Sie den Zugriff auf Ihren Schlüsseltresor verlieren.

Berücksichtigen Sie die folgenden wichtigen Faktoren in Bezug auf die Sicherungsfunktionalität:

  • Sicherungen erstellen verschlüsselte Blobs, die nicht außerhalb von Azure entschlüsselt werden können.

  • Sicherungen können nur in einem Schlüsseltresor innerhalb desselben Azure-Abonnements und derselben Azure-Region wiederhergestellt werden.

  • Es gibt eine Einschränkung der Sicherung von nicht mehr als 500 früheren Versionen eines Schlüssels, eines geheimen Schlüssels oder eines Zertifikatobjekts.

  • Sicherungen sind Point-in-Time-Momentaufnahmen und werden nicht automatisch aktualisiert, wenn geheime Schlüssel geändert werden.

Für die meisten Lösungen sollten Sie sich nicht ausschließlich auf Sicherungen verlassen. Verwenden Sie stattdessen die in diesem Handbuch beschriebenen anderen Funktionen, um Ihre Resilienzanforderungen zu unterstützen. Sicherungen schützen jedoch vor einigen Risiken, die andere Ansätze nicht haben, z. B. versehentliches Löschen bestimmter Geheimnisse. Weitere Informationen finden Sie unter Key Vault Backup.

Wiederherstellungsfunktionen

Key Vault bietet zwei wichtige Wiederherstellungsfeatures, um versehentliche oder böswillige Löschungen zu verhindern:

  • Soft Delete: Wenn aktiviert, können Sie mit Soft Delete gelöschte Tresore und Objekte während eines konfigurierbaren Aufbewahrungszeitraums wiederherstellen. Dieser Zeitraum ist eine Standardeinstellung von 90 Tagen. Stellen Sie sich die Soft-Löschung wie einen Papierkorb für die Ressourcen Ihres Schlüsseltresors vor.

  • Löschschutz: Wenn diese Option aktiviert ist, verhindert der Löschschutz das dauerhafte Löschen des Schlüsseltresors und seiner Objekte, bis der Aufbewahrungszeitraum abgelaufen ist. Dieser Schutz verhindert, dass böswillige Akteure Ihre Geheimnisse dauerhaft zerstören.

Wir empfehlen dringend beide Features für Produktionsumgebungen. Weitere Informationen finden Sie unter Soft-delete and purge protection in der Dokumentation zur Key Vault Wiederherstellungsverwaltung.

Service-Level-Vereinbarung

Der ServiceLevel-Vertrag (SLA) für Azure-Dienste beschreibt die erwartete Verfügbarkeit der einzelnen Dienste und die Bedingungen, die Ihre Lösung erfüllen muss, um diese Verfügbarkeitserwartungen zu erreichen. Weitere Informationen finden Sie unter Dienstleistungsvereinbarungen für Onlinedienste.

Verwandte Inhalte

  • Last updated on