Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os segredos do Azure Key Vault armazenam credenciais confidenciais do aplicativo, como senhas, cadeias de conexão e chaves de acesso. Este artigo fornece recomendações de segurança específicas para o gerenciamento de segredos.
Observação
Este artigo se concentra em práticas de segurança específicas aos segredos do Key Vault. Para obter diretrizes abrangentes de segurança do Key Vault, incluindo segurança de rede, gerenciamento de identidade e acesso e arquitetura de cofre, consulte Proteger seu Azure Key Vault.
O que armazenar como segredos
Os segredos do Azure Key Vault foram projetados para armazenar credenciais de serviço ou aplicativo. Armazene os seguintes tipos de dados como segredos:
- Credenciais do aplicativo: segredos do aplicativo cliente, chaves de API, credenciais de entidade de serviço
- Cadeias de conexão: cadeias de conexão de banco de dados, cadeias de conexão de conta de armazenamento
- Senhas: senhas de serviço, senhas de aplicativo
- Chaves de acesso: chaves do Cache Redis, chaves dos Hubs de Eventos do Azure, chaves do Azure Cosmos DB, chaves de Armazenamento do Azure
- Chaves SSH: chaves SSH privadas para acesso seguro ao shell
Importante
Não armazene dados de configuração no Key Vault. Endereços IP, nomes de serviço, sinalizadores de recursos e outras configurações devem ser armazenados na Configuração de Aplicativos do Azure e não no Key Vault. O Key Vault é otimizado para segredos criptográficos, não para o gerenciamento de configuração geral.
Para obter mais informações sobre segredos, consulte Sobre os segredos do Azure Key Vault.
Formato de armazenamento de segredos
Ao armazenar segredos no Key Vault, siga estas práticas recomendadas de formatação:
Armazene as credenciais compostas corretamente: para credenciais com vários componentes (como nome de usuário/senha), armazene-as como:
- Uma cadeia de conexão formatada corretamente ou
- Um objeto JSON que contém os componentes de credencial
Use tags para metadados: armazene informações de gerenciamento, como agendamentos de rotação, datas de expiração e informações de propriedade em tags secretas, em vez do próprio valor secreto.
Minimizar o tamanho do segredo: manter valores secretos concisos. Cargas grandes devem ser armazenadas no Armazenamento do Azure com criptografia, usando uma chave do Key Vault para criptografia e um segredo do Key Vault para o token de acesso de armazenamento.
Rotação de segredos
Os segredos armazenados na memória do aplicativo ou nos arquivos de configuração persistem durante todo o ciclo de vida do aplicativo, aumentando o risco de exposição. Implemente a rotação de segredo regular para minimizar o risco de comprometimento:
- Alternar segredos regularmente: alterne segredos pelo menos a cada 60 dias, ou com maior frequência em ambientes de alta segurança
- Automatizar a rotação: use os recursos de rotação do Azure Key Vault para automatizar o processo de rotação
- Usar credenciais duplas: para rotação sem tempo de inatividade, implemente recursos com dois conjuntos de credenciais de autenticação
Para obter mais informações sobre a rotação de segredos, consulte:
- Automatizar a rotação de segredos para recursos com um único conjunto de credenciais de autenticação
- Automatizar a rotação de segredos para recursos com dois conjuntos de credenciais de autenticação
Cache e desempenho de segredos
O Key Vault impõe limites de serviço para evitar abusos. Para otimizar o acesso a segredos, mantendo a segurança:
- Segredos de cache na memória: armazenar segredos em cache em seu aplicativo por pelo menos 8 horas para reduzir as chamadas à API do Key Vault
- Implementar a lógica de repetição: use a lógica de repetição de retirada exponencial para lidar com falhas transitórias e limitação
- Atualizar na rotação: atualize valores armazenados em cache quando os segredos são rotacionados para garantir que os aplicativos usem as credenciais atuais
Para obter mais informações sobre limitação, confira Diretrizes de limitação do Azure Key Vault.
Monitoramento de segredos
Habilite o monitoramento para rastrear padrões de acesso secreto e detectar possíveis problemas de segurança:
- Habilitar o registro em log do Key Vault: registre todas as operações de acesso secreto para detectar tentativas de acesso não autorizadas. Veja os logs do Azure Key Vault
- Configurar notificações da Grade de Eventos: monitorar eventos secretos do ciclo de vida (criados, atualizados, expirados, quase expirados) para fluxos de trabalho automatizados. Consulte o Azure Key Vault como origem do Event Grid
- Configurar alertas: configure alertas do Azure Monitor para padrões de acesso suspeitos ou tentativas de autenticação com falha. Consulte Monitoramento e alertas para o Azure Key Vault
- Examinar o acesso regularmente: auditar periodicamente quem tem acesso a segredos e remover permissões desnecessárias
Artigos de segurança relacionados
- Proteger seu Azure Key Vault – Diretrizes abrangentes de segurança do Key Vault
- Proteger suas chaves do Azure Key Vault – Práticas recomendadas de segurança para chaves criptográficas
- Proteger seus certificados do Azure Key Vault – Práticas recomendadas de segurança para certificados