Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os certificados do Azure Key Vault gerenciam certificados X.509 e suas chaves privadas associadas para TLS/SSL, autenticação e assinatura de código. Este artigo fornece recomendações de segurança específicas para o gerenciamento de certificados.
Observação
Este artigo se concentra em práticas de segurança específicas para certificados do Key Vault. Para obter diretrizes abrangentes de segurança do Key Vault, incluindo segurança de rede, gerenciamento de identidade e acesso e arquitetura de cofre, consulte Proteger seu Azure Key Vault.
Armazenamento e formato de certificado
Os certificados do Key Vault combinam certificados X.509 com suas chaves privadas e fornecem recursos de gerenciamento automatizado:
Armazenar certificados, não segredos: sempre use o tipo de objeto de certificado do Key Vault em vez de armazenar certificados como segredos. Os objetos de certificado fornecem:
- Gerenciamento automatizado do ciclo de vida
- Integração com autoridades de certificação (CAs)
- Recursos de renovação automática
- Controle de versão interno
Use autoridades de certificação confiáveis: integre com as ACs com suporte para emissão e renovação automatizadas:
- DigiCert
- GlobalSign
- Outros CAs integrados
Consulte a integração do Key Vault com autoridades de certificação.
Importar certificados externos corretamente: ao importar certificados de fontes externas:
- Usar o formato PFX ou PEM
- Incluir a cadeia de certificados completa
- Proteger chaves privadas durante a importação
Consulte Importar um certificado.
Para obter mais informações sobre certificados, consulte Sobre certificados do Azure Key Vault.
Gerenciamento do ciclo de vida do certificado
Implemente o gerenciamento adequado do ciclo de vida do certificado para evitar expiração e interrupções:
Habilitar a renovação automática: configure a renovação automática para certificados emitidos por ACs integradas. Consulte Renovar seus certificados do Azure Key Vault
Definir janelas de renovação: configurar certificados para renovar antes da expiração:
- Iniciar a renovação aos 80% do tempo de vida do certificado
- Para certificados de 1 ano, inicie a renovação em 292 dias
- Para certificados de 2 anos, inicie a renovação em 584 dias
Monitorar a expiração do certificado: use notificações da Grade de Eventos para acompanhar eventos do ciclo de vida do certificado:
- Certificado quase expirado (30, 15 e 7 dias antes da expiração)
- Certificado expirado
- Certificado criado ou renovado
Manter o inventário de certificados: acompanhar todos os certificados, suas finalidades e datas de validade
Para obter mais informações sobre renovação, consulte Tutorial: Configurar a autorotação de certificado no Key Vault.
Controle de acesso ao certificado
Controlar quem pode acessar e gerenciar certificados:
Permissões de certificado separadas: use o RBAC do Azure para conceder permissões de certificado específicas:
- Usuário do Certificado: Ler certificados e chaves públicas
- Oficial de Certificado: Gerenciar o ciclo de vida do certificado (criar, importar, renovar, excluir)
- Recuperador de Purga: recuperar certificados excluídos
Limitar o acesso administrativo: restringir as operações de gerenciamento de certificados somente ao pessoal autorizado
Usar identidades gerenciadas: os aplicativos devem acessar certificados usando identidades gerenciadas em vez de entidades de serviço com credenciais armazenadas
Consulte Fornecer acesso aos certificados do Key Vault com o RBAC do Azure.
Políticas de emissão de certificado
Configure políticas de certificado para impor requisitos de segurança:
Defina os períodos de validade apropriados:
- Certificados TLS/SSL: máximo de 1 ano (por requisitos do padrão base do Fórum de Autoridade de Certificação/Navegador)
- Certificados internos: com base na política organizacional
- Certificados de assinatura de código: siga os padrões do setor
Use algoritmos de chave forte:
- RSA: mínimo de 2048 bits, 4096 bits para cenários de alta segurança
- EC: curvas P-256, P-384 ou P-521
Configurar SANs (nomes alternativos da entidade): inclua todos os nomes DNS e endereços IP necessários
Definir extensões de uso de chave: especificar o uso de chave apropriado (Assinatura Digital, Codificação de Chave) e uso estendido de chave (Autenticação de Servidor, Autenticação de Cliente)
Para obter mais informações sobre políticas de certificado, consulte Sobre a criação de certificados do Azure Key Vault.
Monitoramento e alertas de certificado
Acompanhe as operações e eventos do ciclo de vida de certificados:
Habilitar o log de diagnóstico: registre todas as operações de certificado, incluindo:
- Criação e importação de certificado
- Tentativas de renovação de certificado (êxito/falha)
- Acesso ao certificado (obter certificado, obter chave privada)
- Exclusão de certificado
Consulte o log do Azure Key Vault.
Configurar alertas de expiração: configurar alertas do Azure Monitor para:
- Certificados expirando dentro de 30 dias
- Tentativas malsucedidas de renovação
- Acesso a certificados por identidades não autorizadas
Examinar o uso do certificado: auditar regularmente quais aplicativos e serviços estão usando cada certificado
Exportação e backup de certificado
Proteja a disponibilidade do certificado mantendo a segurança:
Controlar operações de exportação: limitar quem pode exportar certificados com chaves privadas (sinalizador exportável na política de certificado)
Habilitar exclusão reversível: recuperar certificados excluídos acidentalmente dentro do período de retenção (7 a 90 dias). Confira a visão geral de soft delete do Azure Key Vault
Habilitar proteção contra eliminação: Evitar exclusão permanente durante o período de retenção. Confira Proteção contra limpeza
Fazer backup de certificados críticos: exportar e armazenar com segurança backups de certificados para recuperação de desastre. Consulte o backup do Azure Key Vault
Proteger certificados exportados: ao exportar certificados:
- Usar senhas fortes para arquivos PFX
- Armazenar arquivos exportados em locais seguros
- Excluir arquivos temporários após o uso
- Auditar operações de exportação
Transparência e conformidade do certificado
Mantenha a visibilidade da emissão de certificados:
Habilitar o registro em log de CT (Transparência de Certificado): para certificados publicamente confiáveis, verifique a conformidade com a CT
- Os logs de CT fornecem trilhas de auditoria pública de emissão de certificados
- Necessário para que os certificados sejam confiáveis por navegadores modernos
Propósitos do certificado de documento: manter registros de:
- Finalidade do certificado e aplicativo associado
- Processo de aprovação para emissão de certificado
- Procedimentos de renovação de certificado
Certificados autoassinados
Ao usar certificados autoassinados para testes ou finalidades internas:
Limite para ambientes de não produção: certificados autoassinados não devem ser usados em produção para serviços acessíveis publicamente
Definir períodos de validade apropriados: use períodos de validade mais curtos para certificados autoassinados (90 dias ou menos)
Gerenciar a distribuição de confiança: Documente como a confiança de certificado autoassinado é distribuída aos clientes
Planejar a migração para certificados emitidos pela AC: tenha uma estratégia para substituir certificados autoassinados por certificados emitidos pela AC para produção
Para obter mais informações sobre certificados autoassinados, consulte Criar um certificado com o Key Vault.
Artigos de segurança relacionados
- Proteger seu Azure Key Vault – Diretrizes abrangentes de segurança do Key Vault
- Proteger suas chaves do Azure Key Vault – Práticas recomendadas de segurança para chaves criptográficas
- Proteger seus segredos do Azure Key Vault – Práticas recomendadas de segurança para segredos