Azure Key Vault, Microsoft Azure'un bulut tabanlı anahtar yönetim ve HSM hizmetidir. Özellikle Microsoft ekosisteminde (.NET, Azure DevOps, Windows) çalışan geliştiriciler için ideal bir Cloud HSM çözümüdür. 2026'daki Azure Trusted Signing entegrasyonu ile kod imzalama süreci daha da kolaylaşmıştır.
Azure Key Vault HSM Nedir?
Azure Key Vault, iki farklı HSM desteği sunar:
1. Managed HSM (Premium)
- FIPS 140-2 Level 3 sertifikalı
- Single-tenant HSM pool
- Tam kontrol — Microsoft dahil kimse anahtarlara erişemez
- Enterprise kullanım için ideal
2. Standard Key Vault (HSM-backed)
- FIPS 140-2 Level 2 sertifikalı
- Multi-tenant paylaşımlı HSM altyapısı
- Daha uygun maliyetli
- Bireysel geliştiriciler ve küçük ekipler için
Azure Trusted Signing ile Kod İmzalama
Azure Trusted Signing (eski adıyla Azure Code Signing), Microsoft'un yönetilen kod imzalama hizmetidir. Key Vault HSM ile entegre çalışarak kod imzalama sürecini basitleştirir.
Kurulum Adımları
- Trusted Signing hesabı oluşturun: Azure Portal'da Trusted Signing hizmetine gidin
- Kimlik doğrulama: Kuruluş doğrulamasını tamamlayın (EV için)
- Certificate Profile oluşturun: İmzalama için sertifika profili tanımlayın
- Signing SDK'yı kurun: NuGet üzerinden Azure.CodeSigning SDK'yı yükleyin
PowerShell ile İmzalama
# Azure Trusted Signing modülünü yükleyin
Install-Module -Name Az.TrustedSigning -Force
# Azure'a giriş
Connect-AzAccount
# İmzalama
Invoke-TrustedSigning `
-AccountName "myaccount" `
-CertificateProfileName "ev-codesigning" `
-FilesToSign "MyApp.exe" `
-TimestampUrl "http://timestamp.acs.microsoft.com"Azure DevOps Pipeline Entegrasyonu
- task: TrustedSigning@0
inputs:
AccountName: 'mytrstedsigning'
CertificateProfileName: 'ev-codesigning'
FilesToSign: '**/*.exe,**/*.dll'
TimestampUrl: 'http://timestamp.acs.microsoft.com'Key Vault ile Doğrudan Kod İmzalama
Azure Trusted Signing dışında, Key Vault'u doğrudan kullanarak da imzalama yapabilirsiniz:
1. Key Vault Oluşturma
# Az CLI ile Key Vault oluşturma
az keyvault create --name MyCodeSigningVault \
--resource-group mygroup \
--location westeurope \
--sku premium # HSM-backed için premium gerekli2. Anahtar Oluşturma
# HSM korumalı anahtar oluşturma
az keyvault key create --vault-name MyCodeSigningVault \
--name codesigning-key \
--kty RSA-HSM \
--size 40963. CSR Oluşturma ve Sertifika Yükleme
# CSR oluşturma
az keyvault certificate create --vault-name MyCodeSigningVault \
--name codesigning-cert \
--policy @cert-policy.json
# Sertifikayı yükleme (CA'dan alındıktan sonra)
az keyvault certificate import --vault-name MyCodeSigningVault \
--name codesigning-cert \
--file certificate.pfxMaliyet Karşılaştırması
| Hizmet | Aylık Maliyet | HSM Seviyesi |
|---|---|---|
| Key Vault Standard | ~$0.03/işlem | FIPS 140-2 L2 |
| Key Vault Premium | $5/anahtar + işlem | FIPS 140-2 L2 |
| Managed HSM | ~$3,200/HSM pool/ay | FIPS 140-2 L3 |
| Trusted Signing | ~$9.99/ay (Basic) | FIPS 140-2 L3 |
Güvenlik En İyi Uygulamaları
- Azure RBAC ile Key Vault erişimini kısıtlayın
- Managed Identity kullanarak secret'sız kimlik doğrulama yapın
- Soft-delete ve purge protection'ı aktifleştirin
- Azure Monitor ile erişim loglarını izleyin
- Key rotation politikası belirleyin
Sonuç
Azure Key Vault HSM ve Trusted Signing, Microsoft ekosistemiyle tam uyumlu, güçlü bir kod imzalama çözümüdür. Özellikle .NET geliştiricileri ve Azure DevOps kullananlar için doğal seçim. Daha fazla bilgi için Cloud Kod İmzalama sayfamızı inceleyin.
Yorumlar
Henüz yorum yapılmamış. İlk yorumu siz yapın!
Yorum Yaz