Descubre las prácticas recomendadas de Azure Key Vault

  • 3 minutos

Azure Key Vault es una herramienta para almacenar y acceder a secretos de forma segura. Un secreto es todo lo que desea controlar estrechamente el acceso, como claves de API, contraseñas o certificados. Un almacén es un grupo lógico de secretos.

Autenticación

Para realizar cualquier operación con Key Vault, primero debe autenticarse en él. Hay tres maneras de autenticarse en Key Vault:

  • Identidades administradas para recursos de Azure: al implementar una aplicación en una máquina virtual de Azure, puede asignar una identidad a la máquina virtual que tenga acceso a Key Vault. También puede asignar identidades a otros recursos de Azure. La ventaja de este enfoque es que la aplicación o el servicio no administran la rotación del primer secreto. Azure rota automáticamente el secreto de cliente de la entidad de servicio asociado con la identidad. Se recomienda este enfoque como procedimiento recomendado.

  • Entidad de servicio y certificado: Puede usar una entidad de servicio y un certificado asociado que tenga acceso a Key Vault. No se recomienda este enfoque porque el propietario de la aplicación o el desarrollador deben rotar el certificado.

  • Entidad de servicio y secreto: Aunque puede usar una entidad de servicio y un secreto para autenticarse en Key Vault, no se recomienda que lo haga. Es difícil rotar automáticamente el secreto de arranque que se usa para autenticarse en Key Vault.

Cifrado de datos en tránsito

Azure Key Vault aplica el protocolo de seguridad de la capa de transporte (TLS) para proteger los datos cuando viaja entre Azure Key Vault y los clientes. Los clientes negocian una conexión TLS con Azure Key Vault. TLS proporciona autenticación sólida, privacidad de mensajes e integridad (habilitación de la detección de manipulación, interceptación y falsificación de mensajes), interoperabilidad, flexibilidad de algoritmos y facilidad de implementación y uso.

La confidencialidad directa perfecta (PFS) protege las conexiones entre los sistemas cliente de los clientes y los servicios en la nube de Microsoft mediante claves únicas. Las conexiones también usan longitudes de clave de cifrado de 2048 bits basadas en RSA. Esta combinación dificulta que alguien intercepte y acceda a los datos que están en tránsito.

Procedimientos recomendados de Azure Key Vault

  • Uso de almacenes de claves independientes: Se recomienda usar un almacén por aplicación y por entorno (desarrollo, preproducción y producción). Este patrón le ayuda a no compartir secretos entre entornos y también reduce la amenaza si hay una infracción.

  • Controle el acceso al almacén: Los datos de Key Vault son confidenciales y críticos para la empresa, debe proteger el acceso a los almacenes de claves al permitir solo aplicaciones y usuarios autorizados.

  • Copia de seguridad: Cree copias de seguridad periódicas del almacén al actualizar, eliminar o crear objetos dentro de este.

  • Registro: Asegúrese de activar el registro y las alertas.

  • Opciones de recuperación: Active la eliminación suave y la protección de purga si desea proteger el secreto contra la eliminación forzada.