Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As chaves do Azure Key Vault protegem chaves criptográficas usadas para criptografia, assinaturas digitais e operações de encapsulamento de chave. Este artigo fornece recomendações de segurança específicas para o gerenciamento de chaves criptográficas.
Observação
Este artigo se concentra em práticas de segurança específicas às chaves do Key Vault. Para obter diretrizes abrangentes de segurança do Key Vault, incluindo segurança de rede, gerenciamento de identidade e acesso e arquitetura de cofre, consulte Proteger seu Azure Key Vault.
Tipos de chave e níveis de proteção
O Azure Key Vault dá suporte a diferentes tipos de chave com diferentes níveis de proteção. Escolha o tipo de chave apropriado com base em seus requisitos de segurança:
Chaves protegidas por software (RSA, EC): chaves protegidas pelo software validado fips 140-2 nível 1. Adequado para a maioria dos aplicativos que exigem operações de criptografia e assinatura.
Chaves protegidas por HSM (RSA-HSM, EC-HSM): chaves protegidas por HSMs (módulos de segurança de hardware) validados por FIPS 140-2 Nível 2. Recomendado para cenários de alta segurança que exigem proteção de chave com suporte de hardware.
Chaves HSM gerenciadas: chaves em pools dedicados de HSM de um único locatário com hardware validado para FIPS 140-2 Nível 3. Necessário para os requisitos mais altos de segurança e conformidade.
Para obter mais informações sobre tipos de chave, consulte Sobre as chaves do Azure Key Vault.
Uso e operação de chaves
Restrinja as operações de chave somente às necessárias para que seu aplicativo minimize a superfície de ataque:
- Limitar operações de chave: conceder somente permissões necessárias (criptografar, descriptografar, assinar, verificar, wrapKey, unwrapKey)
-
Use tamanhos de chave apropriados:
- Chaves RSA: use o mínimo de 2048 bits, 4096 bits para cenários de alta segurança
- Chaves de EC: usar as curvas P-256, P-384 ou P-521 com base nos requisitos de segurança
- Chaves separadas por finalidade: use chaves diferentes para criptografia versus operações de assinatura para limitar o impacto se uma chave estiver comprometida
Para obter mais informações sobre operações de chave, consulte Operações de chave no Key Vault.
Rotação de chaves e controle de versão
Implemente a rotação regular de chaves para limitar a exposição de chaves comprometidas:
- Habilitar a rotação automática de chaves: configure políticas de rotação automática para girar chaves sem tempo de inatividade do aplicativo. Consulte Configurar a autorotação de chave
- Definir frequência de rotação: girar chaves de criptografia pelo menos anualmente ou com mais frequência com base nos requisitos de conformidade
- Usar versionamento de chave: O Key Vault cria versões das chaves automaticamente, permitindo uma rotação suave sem interromper dados criptografados existentes
- Planejar a nova criptografia: para dados de longo prazo, implemente estratégias para criptografar novamente dados com novas versões de chave
Para obter mais informações sobre rotação, consulte Configurar a autorotação de chave criptográfica no Azure Key Vault.
Backup e recuperação de chave
Proteja-se contra perda de dados implementando procedimentos adequados de backup e recuperação:
- Habilitar a exclusão reversível: a exclusão reversível permite a recuperação de chaves excluídas dentro de um período de retenção (7 a 90 dias). Confira a visão geral de soft delete do Azure Key Vault
- Habilitar a Proteção contra Remoção: impedir a exclusão permanente de chaves durante o período de retenção. Confira Proteção contra limpeza
- Fazer backup de chaves críticas: exportar e armazenar com segurança backups de chaves que protegem dados insubstituíveis. Consulte o backup do Azure Key Vault
- Procedimentos de recuperação de documentos: manter runbooks para cenários de recuperação principais
BYOK (Bring Your Own Key)
Ao importar suas próprias chaves para o Key Vault, siga as práticas recomendadas de segurança:
- Usar a geração de chave segura: gerar chaves em HSMs FIPS 140-2 nível 2 ou superior
- Proteger chaves durante a transferência: use o processo BYOK do Key Vault para transferir chaves com segurança. Confira Importar chaves protegidas por HSM para o Key Vault (BYOK)
- Validar importação de chave: verificar atributos de chave e permissões após a importação
- Manter a procedência da chave: documentar o método de origem e transferência de chaves importadas
Para obter mais informações sobre BYOK, consulte Importar chaves protegidas por HSM para Key Vault.
Liberação e atestado de chave
Para cenários que exigem a liberação de chave para ambientes confiáveis:
- Usar políticas de versão de chave: configurar políticas de versão baseadas em atestado para controlar quando as chaves podem ser liberadas do Key Vault
- Verificar o atestado: verifique se os ambientes de solicitação fornecem atestado válido antes de liberar chaves
- Monitoramento de liberações de chaves: monitorar e registrar todas as operações de liberação de chaves
Para obter mais informações sobre a versão da chave, consulte a versão da chave do Azure Key Vault.
Monitoramento e auditoria
Acompanhe o uso de chaves para detectar acesso não autorizado ou padrões suspeitos:
- Habilitar o log de diagnóstico: registre todas as operações de chave para análise de segurança. Veja os logs do Azure Key Vault
- Monitorar operações de chave: rastreia as operações para criptografar, descriptografar, assinar e verificar para estabelecer padrões de uso de linha de base
-
Configurar alertas: configurar alertas do Azure Monitor para:
- Padrões de acesso de chave incomuns
- Operações de chave com falha
- Exclusões ou modificações principais
- Expiração da chave se aproximando
Consulte Monitoramento e alertas para o Azure Key Vault.
Expiração da chave
Defina datas de validade para chaves quando apropriado:
- Definir expiração para chaves temporárias: as chaves usadas para fins de tempo limitado devem ter datas de validade
- Monitorar chaves que estão prestes a expirar: use as notificações do Event Grid para alertar antes que as chaves expirem. Consulte o Azure Key Vault como origem do Event Grid
- Automatizar a renovação de chave: implementar processos automatizados para girar chaves antes da expiração
Artigos de segurança relacionados
- Proteger seu Azure Key Vault – Diretrizes abrangentes de segurança do Key Vault
- Proteger seus segredos do Azure Key Vault – Práticas recomendadas de segurança para segredos
- Proteger seus certificados do Azure Key Vault – Práticas recomendadas de segurança para certificados