Azure Developer Associate (YT) - Azure Key Vault

Question 1

Wat is Azure Key Vault?

Answer 1

Beschermd en managed cryptographic keys en andere secrets.

Question 2

Wat zijn de 3 onderdelen van de Key Vault?

Answer 2

• Certificate management > SSL certs voor de interne connected resources
• Key management > create en control van encryption keys
• Secrets management > open en controlle over tokens, passwords, certs, API keys en andere secrets

Question 3

HSM en FIPS?

Answer 3

Hardware Security Model > Hardware voor het opslaan van encrypted keys
Fedetal Information Processing Standard > US&Canadian standard that specfies security requirements

HSM & Multi-tenant > FIPS 140-2 Level 2
HSM & Single-tenant > FIPS 140-2 Level 3

Question 4

Azure key vault - Recovery

Answer 4

• soft-delete
• days to retain deleted vaults
• Purge protection

Question 5

Key vault Pricing

Answer 5

• standaard
• premium > heeft HSM protected keys

HSM is stuk duurder

Question 6

Wat zijn de 3 opties om een key te maken?

Answer 6

• Generate (CMK) > RSA of AC > Hebben een Activation & Expiration date
  > Premium Vault heeft RSA-HSM & EC&HSM als extra optie
• Import > bestaande RSA key
• Restore backup > backups kunnen alleen in dezelfde Azure subscription

Question 7

Wat zijn Microsoft Managed Keys?

Answer 7

Keys managed by MS. Ze komen niet voor in je vault. Maar achter de schermen worden ze wel gebruikt

Question 8

Wat is Double encryption

Answer 8

Je kunt voor een storage account “infrastructure Encryption” aanzetten. Dit geeft een extra laag.
Voor een Azure Disks is het double encryption

altijd aanzetten

Question 9

Secrets

Answer 9

Key vault kan passwords en connection string opslaan
Internal opgeslagen in sequence of octets (8-bits)
max size 25k bytes

Question 10

X.509 Certificates

Answer 10

standaard vanuit de ITU for public key certs
* SSL/TLS en HTTPS
* encrypted emails
* code en document sign

Certificaat heeft:
* identity; hostname, organization
* public key: RSA, DSA, ECDA etc

Question 11

Wat is een Certificate Authority (CA)?

Answer 11

vertrouwde thirds party die certs uitgeeft

Question 12

X509 - Chain of trust

Answer 12

CA kan een cert geven die je als basis cert (Root CA) gebruikt om andere aan te maken. Deze zijn dan self-signed
De Intermediate CA kan er tussen zitten om ze aan te maken. Zij beschermen dan de Root Cert

Question 13

Wat is een End Entity Certificate?

Answer 13

Cert gemaakt door de ICA en gebruikt door de End Entity
Entity is in die geval een SSL cert voor een website

Question 14

X509 format

Answer 14

De cert heeft publieke metadata als
Versienr, validity period, subject, extensions > CA kan dat gebruiken voor extra data

Question 15

X509 validatie

Answer 15

metadata > Hash > signed by Private key > creates Signature
Metadata + signature + public key maakt de certificaat

Question 16

Certicate extensions

Answer 16

Private Enhanced Mail (PEM) > Base64 ASCII
Meestal voor X509, CSR, crypto keys
Distinguished Encoding Rules (DER) > Binary encoding
Gebruikt voor X509 en private keys
De file zelf (CER/CRT) > Base64
beide hetzelfde
Personal Information Exchange
Microsoft cert format
PKCS #12 is de vernieuwing
.p12 of .pfx

Question 17

Wat is een Certificate Signing Request (CSR)

Answer 17

bericht van een application (website) voor de registratie van een cert
CSR&raquo_space; Request&raquo_space; CA&raquo_space; Issue Certificate&raquo_space; Certificate

Question 18

Key vault en het aanmaken van X509 certs

Answer 18

Key vault werkt samen met cert issuers DigiCert & GlobalSign
Je kunt ze binnen de vault als selfsigned aanmaken. Je geeft extra info zodat je te bereiken bent wanneer nieuwe aangemaakt moeten worden.
Heeft automatic renewal

Question 19

Wat zijn de 3 componenten die van Cert die je in de vault opslaat?

Answer 19

• Cert metadata
• key vault key
• key vault secret