Exploración de Azure Key Vault

  • 3 minutos

El servicio Azure Key Vault admite dos tipos de contenedores: almacenes y grupos de módulos de seguridad de hardware administrados (HSM). Los almacenes permiten almacenar software y claves, secretos y certificados respaldados por HSM. Los grupos HSM administrados únicamente admiten claves respaldadas por HSM.

Azure Key Vault ayuda a resolver los siguientes problemas:

  • Administración de secretos: Azure Key Vault se puede usar para almacenar de forma segura y controlar estrechamente el acceso a tokens, contraseñas, certificados, claves de API y otros secretos.

  • Administración de claves: Azure Key Vault también se puede usar como solución de administración de claves. Azure Key Vault facilita la creación y control de las claves de cifrado que se usan para cifrar los datos.

  • Administración de certificados: Azure Key Vault también es un servicio que permite aprovisionar, administrar e implementar fácilmente certificados de capa de sockets seguros y privados (SSL/TLS) para su uso con Azure y los recursos internos conectados.

Azure Key Vault tiene dos niveles de servicio: Estándar, que cifra con una clave de software y un nivel Premium, que incluye claves protegidas por módulos de seguridad de hardware (HSM). Para ver una comparación entre los niveles Estándar y Premium, consulte la página de precios de Azure Key Vault.

Ventajas clave del uso de Azure Key Vault

  • Secretos de aplicación centralizados: La centralización del almacenamiento de secretos de aplicación en Azure Key Vault permite controlar su distribución. Por ejemplo, en lugar de almacenar la cadena de conexión en el código de la aplicación, puede almacenarla de forma segura en Key Vault. Las aplicaciones pueden acceder de manera protegida a la información que necesitan a través de URI. Estos URI permiten que las aplicaciones recuperen versiones específicas de un secreto.

  • Almacene de forma segura secretos y claves: El acceso a un almacén de claves requiere una autenticación y autorización adecuadas antes de que un autor de la llamada (usuario o aplicación) pueda obtener acceso. La autenticación se realiza a través de Microsoft Entra ID. La autorización se puede realizar mediante el control de acceso basado en rol de Azure (RBAC de Azure) o la directiva de acceso de Key Vault. Azure RBAC se puede usar para la administración de los almacenes y para acceder a los datos almacenados en un almacén. Una directiva de acceso del almacén de claves solo se puede usar al intentar acceder a los datos almacenados en un almacén. Azure Key Vaults puede estar protegido por software o, con el nivel Premium de Azure Key Vault, protegido por hardware por módulos de seguridad de hardware (HSM).

  • Supervisar el acceso y el uso: Puede supervisar la actividad habilitando el registro de los almacenes. Tiene control sobre los registros y puede protegerlos mediante la restricción del acceso y también puede eliminar los registros que ya no necesite. Los registros de diagnóstico y las métricas de Azure Key Vault se pueden configurar para:

    • Archivar en una cuenta de almacenamiento.
    • Transmitir a un centro de eventos.
    • Envíe los registros a los registros de Azure Monitor.

  • Administración simplificada de secretos de aplicación: La información de seguridad debe estar protegida, debe seguir un ciclo de vida y debe ser de alta disponibilidad. Azure Key Vault simplifica el proceso de cumplir estos requisitos mediante:

    • Eliminación de la necesidad de conocimientos internos de los módulos de seguridad de hardware
    • Escalado vertical en breve aviso para satisfacer los picos de uso de su organización.
    • Replicar el contenido de tu Key Vault dentro de una región y en una región secundaria. La replicación de datos garantiza una alta disponibilidad y quita la necesidad de cualquier acción del administrador para desencadenar la conmutación por error.
    • Proporcionar opciones de administración de Azure estándar a través del portal, la CLI de Azure y PowerShell.
    • Automatización de determinadas tareas en certificados que se compran a partir de entidades de certificación públicas, como la inscripción y la renovación.