Descobrir as práticas recomendadas do Azure Key Vault

  • 3 minutos

O Azure Key Vault é uma ferramenta para armazenar e acessar segredos com segurança. Um segredo é tudo o que você deseja controlar firmemente o acesso, como chaves de API, senhas ou certificados. Um cofre é um grupo lógico de segredos.

Autenticação

Para fazer qualquer operação com o Key Vault, primeiro você precisa autenticar-se nele. Há três maneiras de autenticar no Key Vault:

  • Identidades gerenciadas para recursos do Azure: ao implantar um aplicativo em uma máquina virtual no Azure, você pode atribuir uma identidade à sua máquina virtual que tenha acesso ao Key Vault. Você também pode atribuir identidades a outros recursos do Azure. O benefício dessa abordagem é que o aplicativo ou serviço não está gerenciando a rotação do primeiro segredo. O Azure gira automaticamente o segredo do cliente da entidade de serviço associado à identidade. Recomendamos essa abordagem como uma prática recomendada.

  • Entidade de serviço e certificado: você pode usar uma entidade de serviço e um certificado associado que tenha acesso ao Key Vault. Não recomendamos essa abordagem porque o proprietário do aplicativo ou desenvolvedor deve rotacionar o certificado.

  • Entidade de serviço e segredo: embora você possa usar uma entidade de serviço e um segredo para autenticar no Key Vault, não recomendamos isso. É difícil girar automaticamente o segredo de inicialização usado para autenticar no Key Vault.

Criptografia de dados em trânsito

O Azure Key Vault impõe o protocolo TLS (Transport Layer Security) para proteger os dados quando ele estiver viajando entre o Azure Key Vault e os clientes. Os clientes negociam uma conexão TLS com o Azure Key Vault. O TLS fornece autenticação forte, privacidade de mensagens e integridade (habilitando a detecção de violação de mensagens, interceptação e falsificação), interoperabilidade, flexibilidade de algoritmo e facilidade de implantação e uso.

O PFS (Perfect Forward Secrecy) protege as conexões entre os sistemas cliente dos clientes e os serviços de nuvem da Microsoft por chaves exclusivas. As conexões também usam comprimentos de chave de criptografia de 2.048 bits baseados em RSA. Essa combinação dificulta a interceptação e o acesso de dados que estão em trânsito.

Práticas recomendadas do Azure Key Vault

  • Use cofres de chaves separados: É recomendado usar um cofre por aplicativo e por ambiente (Desenvolvimento, Pré-Produção e Produção). Esse padrão ajuda você a não compartilhar segredos entre ambientes e também reduz a ameaça se houver uma violação.

  • Controlar o acesso ao cofre: Os dados do Key Vault são confidenciais e críticos para os negócios, você precisa proteger o acesso aos cofres de chaves permitindo apenas aplicativos e usuários autorizados.

  • Backup: Crie backups regulares do seu cofre na atualização/exclusão/criação de objetos dentro de um Cofre.

  • Registro de Eventos: Certifique-se de ativar o registro de eventos e alertas.

  • Opções de recuperação: Ative a exclusão reversível e a proteção contra exclusão se quiser proteger contra a exclusão forçada do segredo.