Azure Key Vault cho phép người đăng ký Azure bảo vệ và kiểm soát các cryptographic keys cũng như các secret khác được các ứng dụng và dịch vụ đám mây sử dụng.
Mã hóa các key và small secret như mật khẩu bằng các key trong Mô-đun Hardware Security Modules (HSMs).
Nhập hoặc tạo key của bạn trong HSM được chứng nhận theo tiêu chuẩn FIPS 140-2 level 2 (vault) và FIPS 140-2 level 3 (managed HSM pools) standards để tăng cường đảm bảo, để key của bạn luôn ở trong HSM boundary.
Đơn giản hóa và tự động hóa các tác vụ cho chứng chỉ SSL / TLS, đăng ký và tự động gia hạn certificate từ các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng (CA) được hỗ trợ.
Quản lý và tự động xoay (rotate) các key tài khoản Azure Storage, đồng thời sử dụng chữ ký truy cập được chia sẻ (shared access signatures) để tránh tiếp xúc trực tiếp với các key.
Cung cấp và triển khai vault và key mới trong vài phút mà không cần chờ các quy trình, phần cứng hoặc CNTT, đồng thời quản lý tập trung các key, secret và chính sách/policies.
Duy trì quyền kiểm soát đối với dữ liệu được mã hóa (encrypted data) – cấp và thu hồi quyền sử dụng key của cả ứng dụng bên thứ ba của riêng bạn nếu cần.
Tách biệt các nhiệm vụ quản lý key để cho phép nhà phát triển dễ dàng quản lý các key được sử dụng cho nhà phát triển (developer)/ thử nghiệm (tester) và di chuyển liền mạch sang production key được quản lý bởi các hoạt động bảo mật.
Mở rộng quy mô nhanh chóng để đáp ứng nhu cầu mật mã cryptographic của các ứng dụng đám mây của bạn và phù hợp với nhu cầu cao điểm ( peak demand).
Đạt được khả năng dự phòng toàn cầu bằng cách cung cấp các vault trong trung tâm dữ liệu Azure trên toàn thế giới và giữ một bản sao trong HSM của riêng bạn để tăng độ an toàn.
Bảng giá Azure Key Vault
Azure Key Vault cung cấp hai loại container:
Vault để lưu trữ và quản lý cryptographic keys, secret, certificate và storage account keys.
Managed HSM pool được dùng để lưu trữ và quản lý các HSM-backed cryptographic key.
Vaults
Vault được cung cấp trong hai cấp (tier) dịch vụ bao gồm: standard & premium. Giá chỉ mang tính tham khảo, vui lòng liên hêh VinSEP để nhận được báo giá tốt.
STANDARD
PREMIUM
Secrets operations
$0.042/10,000 transactions
$0.042/10,000 transactions
Certificate operations
Renewals –$4.119 per renewal request. All other operations –$0.042/10,000 transactions
Renewals –$4.119 per renewal request. All other operations –$0.042/10,000 transactions
Managed Azure Storage account key rotation (in preview)
Free during preview. General availability price: $1.373 per renewal3
Free during preview. General availability price: $1.373 per renewal
First 250 keys$6.865 per key per monthFrom 251 – 1500 keys$3.433 per key per monthFrom 1501 – 4000 keys$1.236 per key per month4001+ keys$0.550 per key per month+ $0.206/10,000 transactions
Managed HSM pools
HOURLY USAGE FEE PER HSM POOL
Standard B1
$6.660
Support and SLA
Hỗ trợ quản lý đăng ký và thanh toán được cung cấp miễn phí.
Thỏa thuận mức dịch vụ (SLA): Microsoft đảm bảo rằng ít nhất 99,9% thời gian sẽ xử lý thành công các yêu cầu giao dịch Key Vault trong vòng năm giây. Tìm hiểu thêm về SLA của Microsoft.
Thông tin liên hệ VinSEP
Mua Azure Key Vault, nhận báo giá, tư vấn & hỗ trợ vui lòng liên hệ chúng tôi:
Azure Application Gateway cho phép bạn xây dựng các trang web có khả năng mở rộng cao bằng cách cung cấp khả năng cân bằng tải và kiểm soát phân phối HTTP. Web Application Firewall Application Gateway cung cấp cho bạn tất cả các lợi ích cơ bản của Application Gateway, cũng như bảo vệ chống lại các request web độc hại.
Microsoft tính phí các cổng (gateway) ứng dụng dựa trên lượng thời gian cổng được cung cấp và trong lúc khả dụng, cũng như lượng dữ liệu được xử lý bởi các cổng ứng dụng (application gateways). Giá chỉ mang tính tham khảo, vui lòng liên hệ chúng tôi để được báo giá tốt.
APPLICATION GATEWAY TYPE
BASIC APPLICATION GATEWAY
WEB APPLICATION FIREWALL APPLICATION GATEWAY
Small
$0.028 per gateway-hour (~$20.44/tháng)
Not available
Medium
$0.0784 per gateway-hour (~$57.232/tháng)
$0.1412 per gateway-hour (~$103.018/tháng)
Large
$0.3584 per gateway-hour (~$261.632/tháng)
$0.5018 per gateway-hour (~$366.285/tháng)
Giá ước tính hàng tháng dựa trên 730 giờ sử dụng mỗi tháng.
Khi sử dụng nhiều phiên bản (instances), bạn sẽ bị tính phí cho mỗi phiên bản (instances).
Data processing
Phí xử lý dữ liệu (data processing) dựa trên lượng dữ liệu được xử lý bởi các cổng ứng dụng.
DATA PROCESSING
SMALL
MEDIUM
LARGE
First 10 TB/tháng
$0.008 per GB
$0 per GB
$0 per GB
Next 30 TB (10–40 TB)/tháng
$0.008 per GB
$0.007 per GB
$0 per GB
Over 40 TB/tháng
$0.008 per GB
$0.007 per GB
$0.0035 per GB
Inbound data transfers
Inbound data transfers tức là dữ liệu đi vào trung tâm dữ liệu Azure là Miễn phí
Outbound data transfers
Outbound data transfers tức là dữ liệu đi ra khỏi trung tâm dữ liệu Azure từ các cổng ứng dụng/application gateway. Dữ liệu được chuyển ra khỏi trung tâm dữ liệu Azure từ các cổng ứng dụng sẽ bị tính phí theo tốc độ truyền dữ liệu tiêu chuẩn.
Application Gateway Standard_v2 and WAF_v2 SKU
Azure Application Gateway Standard_v2 và WAF_v2 SKU cung cấp hỗ trợ autoscaling, zone redundancy và Static VIP. Các cổng (gateways) này cũng cung cấp hiệu suất nâng cao, cung cấp tốt hơn và thời gian cập nhật cấu hình tốt hơn, Rewrite Header và các quy tắc (rule) tùy chỉnh WAF v.v..
APPLICATION GATEWAY
WEB APPLICATION FIREWALL APPLICATION GATEWAY
Fixed
$0.26 per gateway-hour
$0.468 per gateway-hour
Capacity Unit
$0.008 per capacity unit-hour
$0.0144 per capacity unit-hour
Capacity Unit đo lường chi phí dựa trên mức tiêu thụ được tính thêm vào chi phí cố định. Phí Capacity Unit cũng được tính theo giờ hoặc từng phần theo giờ. Có ba dimensions đối với capacity unit là compute unit, persistent connections & throughput. Compute unit là thước đo dung lượng bộ xử lý được tiêu thụ.
Ước tính giá hàng tháng dựa trên 730 giờ sử dụng mỗi tháng
Support & SLA
Microsoft cung cấp hỗ trợ kỹ thuật cho tất cả các dịch vụ Azure được phát hành đến mức khả dụng chung bao gồm Application Gateway thông qua Azure Support, bắt đầu từ $ 29 / tháng. Hỗ trợ quản lý đăng ký và thanh toán được cung cấp miễn phí.
Microsoft đảm bảo rằng mỗi Application Gateway Cloud Service có hai hoặc nhiều instanances medium hay lớn hơn có khả năng hỗ trợ tỷ lệ tự động (autoscaling) hoặc zone redundancy, sẽ khả dụng ít nhất 99,95% thời gian. Tìm hiểu thêm Learn more about our SLA.
Thông tin liên hệ VinSEP
Để mua Azure Application Gateway cũng như nhận báo giá & tư vấn, vui lòng liên hệ chúng tôi:
Azure Application Gateway là một công cụ cân bằng tải lưu lượng/web traffic load balancer truy cập web cho phép bạn quản lý lưu lượng truy cập vào các ứng dụng web của mình. Các bộ cân bằng tải truyền thống hoạt động ở lớp transport (OSI lớp 4 – OSI layer 4 – TCP & UDP) và định tuyến lưu lượng dựa trên địa chỉ IP source và port, đến IP destination và port.
Application Gateway có thể đưa ra quyết định định tuyến dựa trên các thuộc tính bổ sung của một HTTP request, ví dụ: đường dẫn URI hoặc host headers. Ví dụ: bạn có thể định tuyến lưu lượng truy cập dựa trên URL đến. Vì vậy, nếu /image nằm trong URL đến, bạn có thể định tuyến lưu lượng truy cập đến một tập hợp máy chủ cụ thể (được gọi là pool) được định cấu hình cho image. Nếu /video có trong URL, lưu lượng truy cập đó sẽ được chuyển đến một pool khác được tối ưu hóa cho video.
Loại định tuyến này được gọi là cân bằng tải lớp application (OSI layer 7). Azure Application Gateway có thể thực hiện định tuyến dựa trên URL và nhiều hơn thế nữa.
Các tính năng
Secure Sockets Layer (SSL/TLS) termination
Application gateway hỗ trợ SSL / TLS tại gateway, sau đó lưu lượng truy cập thường không được mã hóa đến các backend server. Tính năng này cho phép các máy chủ web không phải chịu gánh nặng về chi phí mã hóa và giải mã tốn kém. Nhưng đôi khi các giao tiếp không được mã hóa tới các máy chủ không phải là một lựa chọn được chấp nhận. Điều này có thể là do các yêu cầu bảo mật, yêu cầu tuân thủ (compliance) hoặc ứng dụng có thể chỉ chấp nhận một kết nối an toàn. Đối với các ứng dụng này, Application gatewway hỗ trợ end to end SSL/TLS encryption.
Application Gateway Standard_v2 hỗ trợ tính năng tự động chia tỷ lệ và có thể tăng hoặc giảm tỷ lệ dựa trên việc thay đổi các mẫu tải lưu lượng. Tự động phân tỷ lệ cũng loại bỏ yêu cầu chọn kích thước triển khai hoặc số lượng phiên bản trong quá trình cấp phép.
Application Gateway Standard_v2 có thể mở rộng nhiều vùng khả dụng (Availability Zones), mang lại khả năng phục hồi lỗi tốt hơn và loại bỏ nhu cầu cung cấp Application Gateways riêng biệt trong mỗi vùng.
Static VIP
Application Gateway Standard_v2 SKU chỉ hỗ trợ loại VIP tĩnh. Điều này đảm bảo rằng VIP được liên kết với application gateway không thay đổi trong suốt lifetime của Application Gateway.
Web Application Firewall
Web Application Firewall (WAF) là một dịch vụ cung cấp khả năng bảo vệ tập trung cho các ứng dụng web của bạn khỏi các lỗ hổng và khai thác phổ biến. WAF dựa trên các quy tắc từ bộ quy tắc cốt lõi của OWASP 3.1 (WAF_v2 only), 3.0 và 2.2.9.
Các ứng dụng web ngày càng trở thành mục tiêu của các cuộc tấn công độc hại khai thác các lỗ hổng phổ biến đã biết. Phổ biến trong số các cách khai thác này là các cuộc tấn công: chèn SQL (SQL injection attack) & cross site scripting attack. Việc ngăn chặn các cuộc tấn công như vậy trong mã ứng dụng có thể là một thách thức và có thể yêu cầu việc bảo trì, vá lỗi và giám sát nghiêm ngặt ở nhiều lớp của cấu trúc liên kết ứng dụng. Web Application Firewall quản lý tập trung giúp quản lý bảo mật đơn giản hơn nhiều và đảm bảo tốt hơn cho quản trị viên ứng dụng trước các mối đe dọa hoặc sự xâm nhập. Giải pháp Web Application Firewall cũng có thể phản ứng với mối đe dọa bảo mật nhanh hơn bằng cách vá lỗ hổng bảo mật đã biết tại vị trí trung tâm thay vì bảo mật từng ứng dụng web riêng lẻ. Các cổng (gateway) ứng dụng hiện có có thể được chuyển đổi thành cổng ứng dụng hỗ trợ Web Application Firewall một cách dễ dàng.
Application Gateway Ingress Controller (AGIC) cho phép bạn sử dụng Application Gateway làm mục nhập (ingress) cho một cluster Azure Kubernetes Service (AKS).
Ingress controller chạy như một nhóm trong cluster AKS và sử dụng Kubernetes Ingress Resources và chuyển đổi thành cấu hình Application Gateway, cho phép cổng vào cân bằng tải lưu lượng đến các nhóm Kubernetes. Ingress controller chỉ hỗ trợ các SKU cổng ứng dụng Standard_v2 và WAF_v2.
Định tuyến dựa trên đường dẫn URL (URL-based routing) cho phép bạn định tuyến lưu lượng truy cập đến các nhóm máy chủ back-end dựa trên Đường dẫn URL của yêu cầu (request). Một trong những tình huống là định tuyến các yêu cầu (request) cho các loại nội dung khác nhau đến các nhóm (pool) khác nhau.
ví dụ, các yêu cầu (request) http://contoso.com được định tuyến đến ContosoServerPool.
Tương tự, hai sub-domain của cùng một subdomain có thể được lưu trữ trên cùng một triển khai cổng ứng dụng (application gateway). ví dụ, sử dụng subdomain có thể bao gồm http://blog.contoso.com và http://app.contoso.com được lưu trữ (hosted) trên một triển khai cổng ứng dụng (application gateway) duy nhất.
Một kịch bản phổ biến cho nhiều web application là hỗ trợ chuyển hướng HTTP sang HTTPS tự động để đảm bảo tất cả giao tiếp giữa ứng dụng và người dùng của ứng dụng đó diễn ra qua một đường dẫn được mã hóa & an toàn.
Trước đây, bạn có thể đã sử dụng các kỹ thuật như tạo nhóm chuyên dụng (dedicated pool) với mục đích duy nhất là chuyển hướng các yêu cầu (request) mà nó nhận được trên HTTP sang HTTPS. Application gateway hỗ trợ khả năng chuyển hướng (redirection) lưu lượng trên Application Gateway. Điều này giúp đơn giản hóa cấu hình ứng dụng, tối ưu hóa việc sử dụng tài nguyên và hỗ trợ các tình huống chuyển hướng (redirect) mới, bao gồm cả chuyển hướng (reditect) toàn cầu (global) và dựa trên đường dẫn (path-based). Hỗ trợ reditect Application gateway không chỉ giới hạn ở chuyển hướng HTTP sang HTTPS. Đây là cơ chế chuyển hướng chung, vì vậy bạn có thể chuyển hướng từ và đến bất kỳ cổng nào bạn xác định bằng cách sử dụng các quy tắc, tính năng này cũng hỗ trợ chuyển hướng đến một trang web bên ngoài.
Hỗ trợ chuyển hướng (reditect) Application Gateway cung cấp các khả năng sau:
Chuyển hướng toàn cầu (Global redirection) từ cổng này sang cổng khác trên Gateway. Điều này cho phép chuyển hướng HTTP sang HTTPS trên một trang web.
Chuyển hướng dựa trên đường dẫn (Path-based redirection). Loại chuyển hướng này chỉ cho phép chuyển hướng HTTP sang HTTPS trên một khu vực trang web cụ thể, ví dụ: khu vực giỏ hàng được ký hiệu là / cart /.
Chuyển hướng đến một trang web bên ngoài (external site).
Tính năng session affinity dựa trên cookie rất hữu ích khi bạn muốn giữ phiên người dùng trên cùng một máy chủ. Bằng cách sử dụng cookie được quản lý bởi gateway (gateway-managed cookies), Application Gateway có thể hướng lưu lượng tiếp theo từ phiên người dùng đến cùng một máy chủ để xử lý. Điều này quan trọng trong trường hợp trạng thái phiên được lưu cục bộ trên máy chủ cho phiên người dùng.
Application Gateway cung cấp hỗ trợ riêng cho các giao thức WebSocket và HTTP / 2. Không có cài đặt người dùng có thể định cấu hình để bật hoặc tắt WebSocket support.
Giao thức WebSocket và HTTP / 2 cho phép giao tiếp song công (full duplex) giữa máy chủ và máy khách qua kết nối TCP đang hoạt động lâu dài. Điều này cho phép giao tiếp tương tác hơn giữa máy chủ web và máy khách, có thể hai chiều mà không cần polling các request trong triển khai dựa trên HTTP. Các giao thức này có chi phí thấp, không giống như HTTP và có thể sử dụng lại cùng một kết nối TCP cho nhiều yêu cầu (request) / phản hồi (response) dẫn đến việc sử dụng tài nguyên hiệu quả hơn. Các giao thức này được thiết kế để hoạt động trên các cổng HTTP truyền thống là 80 và 443.
Tính năng Connection draining giúp bạn loại bỏ backend pool members trong quá trình cập nhật dịch vụ theo kế hoạch. Cài đặt này được bật thông qua cài đặt http backend và có thể được áp dụng cho tất cả các thành viên trong nhóm backend (backend pool) trong quá trình tạo các rule (quy tắc) . Sau khi được kích hoạt, Application Gateway đảm bảo tất cả các trường hợp hủy đăng ký (deregistering instances) của backend pool không nhận được bất kỳ yêu cầu (request) mới nào trong khi vẫn cho phép các yêu cầu hiện có hoàn thành trong một giới hạn thời gian đã định cấu hình. Điều này áp dụng cho cả các trường hợp backend bị xóa khỏi backend pool do thay đổi cấu hình người dùng và các trường hợp backend được báo cáo là không tốt. Ngoại lệ duy nhất cho điều này là requests bound dành cho deregistering instances, đã được hủy đăng ký (deregistering instances) một cách rõ ràng, vì mối quan hệ phiên được quản lý bằng cổng (gateway) và tiếp tục được ủy quyền cho các phiên bản hủy đăng ký (deregistering instances).
Application Gateway cho phép bạn tạo các error tùy chỉnh thay vì hiển thị các trang error mặc định. Bạn có thể sử dụng thương hiệu và bố cục của riêng mình bằng cách sử dụng trang lỗi tùy chỉnh.
HTTP headers cho phép client & server chuyển thông tin bổ sung với yêu cầu (request) hoặc phản hồi (response). Viết lại (rewrite) các header HTTP giúp bạn hoàn thành một số trường hợp quan trọng, chẳng hạn như:
Thêm các trường header liên quan đến bảo mật như HSTS / X-XSS-Protection.
Xóa các trường header phản hồi (response) có thể tiết lộ thông tin nhạy cảm.
Loại bỏ thông tin cổng (port) khỏi tiêu đề X-Forwarded-For.
Application Gateway và WAF v2 SKU hỗ trợ khả năng thêm, xóa hoặc cập nhật các header response và request HTTP, trong khi các request & response package di chuyển giữa máy khách và backend pool. Bạn cũng có thể viết lại (rewrite) URL,query string parameter & host name. Với tính năng ghi lại URL và định tuyến dựa trên đường dẫn URL, bạn có thể chọn định tuyến các yêu cầu đến một trong các backend pool dựa trên đường dẫn ban đầu hoặc đường dẫn được viết lại (rewrite) bằng cách sử dụng path map.
Tính năng này cũng cung cấp cho bạn khả năng thêm các điều kiện để đảm bảo các header hoặc URL được chỉ định, chỉ được viết lại khi một số điều kiện nhất định được đáp ứng. Các điều kiện này dựa trên thông tin request & response.
Application Gateway Standard_v2 có thể được định cấu hình để tự động chia tỷ lệ hoặc triển khai kích thước cố định. SKU v2 không cung cấp các kích thước instance khác nhau. Để biết thêm thông tin về giá cả và hiệu suất v2, hãy xem: Autoscaling V2 & Understanding pricing.
Application Gateway Standard (v1) được cung cấp ở ba kích cỡ: Small, Medium, and Large. Small instance được sử dụng cho việc phát triển & thử nghiệm (testing).
Để có danh sách đầy đủ các giới hạn, hãy xem: Application Gateway service limits Bảng sau đây cho thấy thông lượng hiệu suất trung bình cho mỗi phiên bản v1 cổng ứng dụng có SSL offload được bật:
Azure Key Vault là một dịch vụ đám mây để lưu trữ và truy cập các secret một cách an toàn. secret là bất kỳ thứ gì bạn muốn kiểm soát chặt chẽ quyền truy cập, chẳng hạn như API key, password, certificates hoặc cryptographic keys. Key Vault service hỗ trợ hai loại container: vault & managed HSM pool. Vault hỗ trợ lưu trữ phần mềm và HSM-backed keys, secrets, and certificates. Managed HSM pools chỉ hỗ trợ HSM-backed keys. Xem tổng quan về Azure Key Vault REST API overview để biết chi tiết đầy đủ.
Dưới đây là một số định nghĩa quan trọng khác:
Tenant: là tổ chức sở hữu và quản lý một phiên bản cụ thể của các dịch vụ đám mây của Microsoft, thường được dùng để chỉ tập hợp các dịch vụ Azure và Microsoft 365 cho một tổ chức/doanh nghiệp/công ty.
Vault owner: có thể tạo key vault và có toàn quyền truy cập và kiểm soát. Vault owner cũng có thể thiết lập audit để ghi lại những ai truy cập vào secrets & key. Quản trị viên có thể kiểm soát key lifecycle, có thể chuyển sang phiên bản mới của key, sao lưu và thực hiện các tác vụ liên quan.
Vault consumer: có thể thực hiện các hành động bên trong key vault khi vault owner cấp quyền truy cập cho Vault consumer. Các hành động sẽ phụ thuộc vào các quyền được cấp.
Managed HSM Administrators: Người dùng được chỉ định vai trò Administrator có toàn quyền kiểm soát Managed HSM pool, có thể tạo nhiều nhiệm vụ vai trò hơn để ủy quyền quyền truy cập có kiểm soát cho những người dùng khác.
Managed HSM Crypto Officer/User: Các vai trò tích hợp thường được chỉ định cho người dùng (user) hoặc service principals sẽ thực hiện cryptographic operations bằng cách sử dụng các key trong Managed HSM. Crypto User có thể tạo key mới, nhưng không thể xóa key.
Managed HSM Crypto Service Encryption: Vai trò tích hợp thường được chỉ định cho service identity được quản lý bởi tài khoản dịch vụ (service account) (ví dụ: Storage account) để mã hóa dữ liệu bằng key do khách hàng quản lý.
Resource: có thể được quản lý thông qua Azure. Các ví dụ phổ biến là máy ảo, tài khoản lưu trữ, ứng dụng web, cơ sở dữ liệu và mạng ảo v.v…
Resource group: là một container chứa các tài nguyên liên quan cho giải pháp Azure. Resource group có thể bao gồm tất cả các tài nguyên/resource cho giải pháp hoặc chỉ những tài nguyên/resource mà bạn muốn quản lý như một nhóm/group.
Security principal: là security identity mà các ứng dụng, dịch vụ và công cụ tự động hóa do người dùng tạo sử dụng để truy cập các tài nguyên Azure cụ thể. Hãy coi đó là “danh tính người dùng” (tên người dùng và mật khẩu hoặc chứng chỉ) với vai trò cụ thể và các quyền được kiểm soát chặt chẽ. Security principal chỉ cần làm những việc cụ thể, không giống như danh tính người dùng chung (user identity). Security principal thực hiện bảo mật nếu bạn chỉ cấp mức quyền tối thiểu để thực hiện các nhiệm vụ quản lý. Security principal được sử dụng với một ứng dụng hoặc dịch vụ được gọi là service principal.
Azure Active Directory (Azure AD): Azure AD là Active Directory service cho tenant. Mỗi directory có một hoặc nhiều domain. một directory có thể có nhiều đăng ký/supscriptions được liên kết, nhưng chỉ có một tenant.
Azure tenant ID: một tenant ID là một cách duy nhất để xác định một phiên bản Azure AD trong đăng ký/ subscription Azure.
Managed identities: Azure Key Vault cung cấp một cách để lưu trữ an toàn thông tin đăng nhập (credentials) cũng như các key và secret, nhưng mã (code) của bạn cần phải xác thực với Key Vault để truy xuất chúng. Sử dụng managed identity giúp giải quyết vấn đề này đơn giản hơn bằng cách cung cấp cho các dịch vụ Azure (Azure services) một danh tính được quản lý (managed identity) tự động trong Azure AD. Bạn có thể sử dụng danh tính (identity) này để xác thực với Key Vault hoặc bất kỳ dịch vụ nào hỗ trợ xác thực Azure AD mà không cần có bất kỳ thông tin đăng nhập nào trong code của bạn. Để biết thêm thông tin, hãy tham khảo overview of managed identities for Azure resource
Authentication
Để thực hiện bất kỳ thao tác nào với Key Vault, trước tiên bạn cần xác thực nó. Có ba cách để xác thực Key Vault:
Managed identities for Azure resources (Danh tính được quản lý cho tài nguyên Azure): Khi bạn triển khai ứng dụng trên máy ảo trong Azure, bạn có thể chỉ định danh tính (identity) cho máy ảo của mình có quyền truy cập vào Key Vault. Bạn cũng có thể gán danh tính cho các tài nguyên Azure khác. Lợi ích của phương pháp này là ứng dụng hoặc dịch vụ không quản lý vòng quay của secret đầu tiên (first secret). Azure tự động xoay (rotate) danh tính (identity). Microsoft đề xuất phương pháp này như một phương pháp hay nhất.
Service principal and certificate: Bạn có thể sử dụng service principal và chứng chỉ được liên kết (associated certificate) để có quyền truy cập vào Key Vault. Microsoft không khuyến khích phương pháp này vì chủ sở hữu hoặc nhà phát triển ứng dụng phải xoay certificate (rotate the certificate).
Service principal and secret: Mặc dù bạn có thể sử dụng service principal & secret để xác thực với Key Vault, nhưng Microsoft không khuyên bạn nên sử dụng cách này. Thật khó để tự động xoay (rotate) bootstrap secret được sử dụng để xác thực với Key Vault.
Key Vault roles
Sử dụng bảng sau để hiểu rõ hơn cách Key Vault có thể giúp đáp ứng nhu cầu của các nhà phát triển và quản trị viên bảo mật.
Role
Vấn đề
Được giải quyết bởi Azure Key Vault
Developer cho Azure application
“Tôi muốn viết một ứng dụng cho Azure sử dụng key để ký và mã hóa. Nhưng tôi muốn các key này nằm bên ngoài ứng dụng của mình để giải pháp phù hợp với ứng dụng được phân phối theo địa lý. Tôi muốn các key và secret này được bảo vệ mà không cần phải tự viết code. Tôi cũng muốn các key và secret này để tôi dễ dàng sử dụng từ các ứng dụng của mình, với hiệu suất tối ưu.”
√ Các key được lưu trữ trong một vault và được gọi bởi URI khi cần thiết. √ key được bảo vệ bởi Azure, sử dụng các thuật toán tiêu chuẩn ngành, độ dài key và mô-đun bảo mật phần cứng.
√ key được xử lý trong HSM nằm trong cùng trung tâm dữ liệu Azure với ứng dụng. Phương pháp này cung cấp độ tin cậy tốt hơn và giảm độ trễ so với các key nằm ở một vị trí riêng biệt, chẳng hạn như on-premises.
Developer cho= software as a service (SaaS)
“Tôi không muốn có trách nhiệm hoặc trách nhiệm pháp lý tiềm ẩn đối với key và secret của khách hàng. Tôi muốn khách hàng sở hữu và quản lý key của họ để tôi có thể tập trung làm những gì tôi giỏi nhất, đó là cung cấp các tính năng cốt lõi của phần mềm.”
√ Khách hàng có thể nhập các key của riêng họ vào Azure và quản lý chúng. Khi một ứng dụng SaaS cần thực hiện cryptographic operations bằng cách sử dụng key của khách hàng, Key Vault sẽ thực hiện các hoạt động này thay mặt cho ứng dụng. Ứng dụng không thấy key của khách hàng.
Chief security officer (CSO)
“Tôi muốn biết rằng các ứng dụng của chúng tôi tuân thủ FIPS 140-2 Level 2 hoặc FIPS 140-2 Level 3 HSM để quản lý key an toàn. Tôi muốn đảm bảo rằng công ty của tôi kiểm soát vòng đời của key và có thể giám sát việc sử dụng key. Và mặc dù chúng tôi sử dụng nhiều dịch vụ và tài nguyên của Azure, tôi muốn quản lý các key từ một vị trí duy nhất trong Azure.”
√ Chọn vaults cho FIPS 140-2 Level 2 validated HSMs. √ Chọn managed HSM pools cho FIPS 140-2 Level 3 validated HSMs.
√ Key Vault được thiết kế để Microsoft không nhìn thấy hoặc trích xuất các key của bạn. √ Key usage được log gần với thời gian thực.
√ Vault cung cấp một giao diện duy nhất, bất kể bạn có bao nhiêu vault trong Azure, khu vực nào đang hỗ trợ và ứng dụng nào đang sử dụng.
Bất kỳ ai có đăng ký Azure (Azure subscription) đều có thể tạo và sử dụng key vaults. Mặc dù Key Vault mang lại lợi ích cho các nhà phát triển và quản trị viên bảo mật, nhưng cũng có thể được triển khai và quản lý bởi quản trị viên của tổ chức, người quản lý các dịch vụ Azure khác. Ví dụ: quản trị viên này có thể đăng nhập bằng đăng ký Azure, tạo một vault cho tổ chức để lưu trữ key và sau đó chịu trách nhiệm về các tác vụ hoạt động như sau:
Tạo hoặc nhập keyhoặc secret.
Thu hồi (Revoke) hoặc xóa (delete) key hoặc secret.
Cho phép người dùng hoặc ứng dụng truy cập key vault để sau đó họ có thể quản lý hoặc sử dụng các key và secret.
Định cấu hình việc sử dụng key (ví dụ: ký hoặc mã hóa/sign, encrypt)
Giám sát việc sử dụng key.
Quản trị viên này sau đó cung cấp cho các nhà phát triển URI để gọi từ các ứng dụng của họ. Quản trị viên này cũng cung cấp thông tin ghi log sử dụng cho quản trị viên bảo mật.
Các nhà phát triển cũng có thể quản lý các key trực tiếp bằng cách sử dụng các API. Để biết thêm thông tin vui lòng tham khảo link sau: the Key Vault developer’s guide
Giống như nhiều phần mềm khác, Microsoft cung cấp cả phiên bản Microsoft Teams miễn phí và trả phí. Tuy nhiên, do đại dịch Coronavirus, Microsoft gần đây đã thông báo sẽ cung cấp bản dùng thử miễn phí sáu tháng đối với gói Teams trả phí. Do đó, chắc chắn bạn sẽ thắc mắc sự khác biệt giữa gói miễn phí và trả phí là gì? Trong bài viết này VinSEP sẽ giải thích cho bạn một cách ngắn gọn nhất.
Tính năng & các giới hạn
Sự khác biệt chính chủ yếu bao gồm: số thành viên tối đa (maximum members), dung lượng lưu trữ (file storge), các tính năng bổ sung trong việc ghi lại các cuộc họp cũng như các cuộc gọi điện thoại, quyền quản trị v.v..
Phiên bản miễn phí của Microsoft Teams chỉ cho phép có tối đa 300 thành viên (người dùng) cho mỗi doanh nghiệp. Trong khi đó, các gói trả phí của Microsoft Teams lên đến số lượng thành viên không giới hạn với enterprise license. Các gói Microsoft Teams miễn phí gioiws hạn dung lượng lưu trữ ở 2GB cho mỗi người dùng, với bộ nhớ dùng chung là 10GB. Trong khi đó, các gói trả phí tăng dung lượng lưu trữ lên đến 1TB cho mỗi người dùng. Chi tiết vui lòng xem bảng so sánh bên dưới:
Microsoft Teams free
Microsoft Teams
Tính năng
Số thành viên tối đa
300 người mỗi tổ chức
Potentially unlimited with an enterprise license
Dung lượng lưu trữ
2 GB/user và 10 GB cho lưu trữ chung
1 TB/user
Guest access
✓
✓
1:1 hay group online audio & video calls
✓
✓
Channel meetings
✓
✓
Screen sharing
✓
✓
Lên lịch meeting
✓
✓tích hợp với Exchange calendar
Meeting recording
✓khả dụng với Microsoft Stream
Phone calls & audio conferencing
✓
Host online events lên đến 10,000 người
✓
Tính năng Firstline worker (Shifts, Walkie Talkie, v.v…)
✓
Administration (quản trị)
Admin tools cho quản lý người dùng & app
✓
Báo cáo sử dụng (usage reporting) cho Microsoft 365 services
✓
99.9% financially-backed SLA uptime
✓
cấu hình các chính sách & cài đặt cho người user
✓
Đăng ký sử dụng Teams miễn phí tại VinSEP
Nếu Doanh nghiệp bạn cần sử dụng thử Phần mềm Teams của Microsoft 365, không cần phải tự đăng ký. Hãy liên hệ, email hoặc nhắn tin cho chúng tôi.
Quý doanh nghiệp nhận được Phần mềm Teams – bản full. Các tính năng như: Tạo Kênh, tạo Team, làm việc đội nhóm, Live Event, Video Call, Meeting, liên kết ứng dụng.
Thời gian sử dụng này khỉ 30 ngày mà còn hơn thế nữa để khách hàng yên tâm trãi nghiệm.
Mua Microsoft Teams bản quyền
Nếu bạn có nhu cầu tư vấn hay mua bản quyền Microsoft Teams, vui lòng liên hệ VinSEP để được hỗ trợ trực tiếp hoặc đọc bài viết sau: Tư vấn mua Microsoft Teams
Chúng tôi sử dụng lưu bộ nhớ tạm cookie cho thiết bị của bạn, để ghi nhớ các nội dung bạn đã xem. Đồng ý với điều này sẽ cho phép duyệt web thuận lợi hơn. Không đồng ý hoặc rút lại sự đồng ý, có thể gây chậm cho trải nghiệm khi xem bài viết.
Functional
Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
