Explorar o Azure Key Vault

  • 3 minutos

O serviço do Azure Key Vault dá suporte a dois tipos de contêineres: cofres e pools de HSM (módulo de segurança de hardware gerenciado). Os cofres oferecem suporte ao armazenamento de chaves, segredos e certificados apoiados por software e HSM. Os pools HSM gerenciados oferecem suporte apenas a chaves apoiadas por HSM.

O Azure Key Vault ajuda a resolver os seguintes problemas:

  • Gerenciamento de Segredos: O Azure Key Vault pode ser usado para armazenar e controlar com segurança o acesso a tokens, senhas, certificados, chaves de API e outros segredos

  • Gerenciamento de chaves: O Azure Key Vault também pode ser usado como uma solução de Gerenciamento de Chaves. O Azure Key Vault facilita a criação e o controle das chaves de criptografia usadas para criptografar seus dados.

  • Gerenciamento de certificados: O Azure Key Vault também é um serviço que permite provisionar, gerenciar e implantar certificados SSL/TLS (Segurança de Camada de Transporte/Camada de Soquetes Seguros) públicos e privados para uso com o Azure e seus recursos conectados internos.

O Azure Key Vault tem duas camadas de serviço: Standard, que criptografa com uma chave de software e uma camada Premium, que inclui chaves protegidas por HSM (módulo de segurança de hardware). Para ver uma comparação entre as camadas Standard e Premium, consulte a página de preços do Azure Key Vault.

Principais benefícios do uso do Azure Key Vault

  • Segredos centralizados do aplicativo: Centralizar o armazenamento de segredos do aplicativo no Azure Key Vault permite que você controle a distribuição deles. Por exemplo, em vez de armazenar a cadeia de conexão no código do aplicativo, você pode armazená-la com segurança no Key Vault. Seus aplicativos podem acessar com segurança as informações necessárias usando URIs. Esses URIs permitem que os aplicativos recuperem versões específicas de um segredo.

  • Armazene segredos e chaves com segurança: O acesso a um cofre de chaves requer autenticação e autorização adequadas para que um chamador (usuário ou aplicativo) possa obter acesso. A autenticação é feita por meio do Microsoft Entra ID. A autorização pode ser feita por meio do RBAC (controle de acesso baseado em função) do Azure ou da política de acesso do Key Vault. O RBAC do Azure pode ser usado para o gerenciamento dos cofres e para acessar dados armazenados em um cofre. Uma política de acesso do cofre de chaves só pode ser usada ao tentar acessar dados armazenados em um cofre. Os Cofres de Chaves do Azure podem ser protegidos por software ou, com a camada Premium do Azure Key Vault, protegidos por hardware por HSMs (módulos de segurança de hardware).

  • Monitorar o acesso e o uso: Você pode monitorar a atividade habilitando o registro em log dos cofres. Você tem controle sobre seus logs e pode protegê-los restringindo o acesso e também pode excluir logs que você não precisa mais. Os logs de diagnóstico e as métricas do Azure Key Vault podem ser configurados para:

    • Arquivar em uma conta de armazenamento.
    • Transmissão para um hub de eventos.
    • Envie os logs para o Azure Monitor.

  • Administração simplificada de segredos do aplicativo: As informações de segurança devem ser protegidas, devem seguir um ciclo de vida e devem estar altamente disponíveis. O Azure Key Vault simplifica o processo de atender a esses requisitos:

    • Removendo a necessidade de conhecimento interno dos Módulos de Segurança de Hardware
    • Dimensionamento imediato para atender aos picos de uso da organização.
    • Replicação do conteúdo do Key Vault em uma região e para uma região secundária. A replicação de dados garante alta disponibilidade e tira a necessidade de qualquer ação do administrador para disparar o failover.
    • Fornecendo opções de administração padrão do Azure por meio do portal, da CLI do Azure e do PowerShell.
    • Automação de determinadas tarefas em certificados comprados de ACs públicas, como registro e renovação.