Partilhar via

Assegure os seus certificados Azure Key Vault

Os certificados Azure Key Vault gerem os certificados X.509 e as suas chaves privadas associadas para TLS/SSL, autenticação e assinatura de código. Este artigo fornece recomendações de segurança específicas para a gestão de certificados.

Observação

Este artigo foca-se nas práticas de segurança específicas dos certificados Key Vault. Para orientações abrangentes sobre segurança do Key Vault, incluindo segurança de rede, gestão de identidade e acessos, e arquitetura do cofre, consulte Secure your Azure Key Vault.

Armazenamento e formato de certificados

Os certificados Key Vault combinam certificados X.509 com as suas chaves privadas e fornecem capacidades de gestão automatizada:

  • Armazenar certificados, não segredos: Use sempre o tipo de objeto certificado Key Vault em vez de armazenar certificados como segredos. Os objetos de certificado fornecem:

    • Gestão automatizada do ciclo de vida
    • Integração com autoridades certificadoras (CAs)
    • Capacidades de renovação automática
    • Versionamento incorporado

  • Use autoridades certificadoras de confiança: Integre com as ACs suportadas para emissão e renovação automáticas:

    • DigiCert
    • GlobalSign
    • Outras ACs integradas

    Consulte Integração do Key Vault com as autoridades certificadoras.

  • Importar certificados externos corretamente: Ao importar certificados de fontes externas:

    • Use formato PFX ou PEM
    • Inclua a cadeia completa de certificados
    • Proteger as chaves privadas durante a importação

    Veja Importar um certificado.

Para mais informações sobre certificados, consulte Sobre os certificados do Azure Key Vault.

Gestão do ciclo de vida dos certificados

Implementar uma gestão adequada do ciclo de vida dos certificados para evitar expirações e interrupções:

  • Ativar renovação automática: Configurar a renovação automática para certificados emitidos por CAs integradas. Veja Renovar os seus certificados Azure Key Vault

  • Definir janelas de renovação: Configurar certificados para renovar antes da expiração:

    • Inicie a renovação aos 80% de vida útil do certificado
    • Para certificados de 1 ano, inicie a renovação aos 292 dias
    • Para certificados de 2 anos, inicie a renovação aos 584 dias

  • Monitorizar a expiração do certificado: Utilizar notificações da Grade de Eventos para acompanhar os eventos do ciclo de vida do certificado:

    • Certificado perto da expiração (30, 15 e 7 dias antes da expiração)
    • Certificado expirado
    • Certificado criado ou renovado

    Veja o Azure Key Vault como fonte da Grade de Eventos.

  • Manter o inventário de certificados: Acompanhar todos os certificados, os seus propósitos e datas de validade

Para mais informações sobre renovação, consulte o Tutorial: Configurar a autorrotação de certificados no Key Vault.

Controlo de acesso a certificados

Controlar quem pode aceder e gerir os certificados:

  • Permissões de certificado separadas: Use o Azure RBAC para conceder permissões específicas de certificados:

    • Utilizador de Certificado: Leia certificados e chaves públicas
    • Oficial de Certificados: Gerir o ciclo de vida dos certificados (criar, importar, renovar, eliminar)
    • Recuperador de Purgas: Recuperar certificados eliminados

  • Limitar o acesso administrativo: Restringir as operações de gestão de certificados apenas a pessoal autorizado

  • Use identidades geridas: As aplicações devem aceder a certificados através de identidades geridas em vez de entidades de serviço com credenciais armazenadas

Veja Fornecer acesso a certificados Key Vault com Azure RBAC.

Políticas de emissão de certificados

Configurar políticas de certificados para impor requisitos de segurança:

  • Defina períodos de validade apropriados:

    • Certificados TLS/SSL: máximo de 1 ano (de acordo com os requisitos base do CA/Browser Forum)
    • Certificados internos: Baseados na política organizacional
    • Certificados de assinatura de códigos: Seguir os padrões da indústria

  • Use algoritmos de chave fortes:

    • RSA: mínimo de 2048 bits, 4096 bits para cenários de alta segurança
    • EC: Curvas P-256, P-384 ou P-521

  • Configurar nomes alternativos de assunto (SANs): Incluir todos os nomes DNS e endereços IP necessários

  • Definir extensões de utilização de chaves: Especificar o uso apropriado da chave (Assinatura Digital, Cifra de Chaves) e o uso estendido da chave (Autenticação do Servidor, Autenticação do Cliente)

Para mais informações sobre políticas de certificado, consulte Sobre a criação de certificados do Azure Key Vault.

Monitorização de certificados e alertas

Acompanhar as operações do certificado e os eventos do ciclo de vida:

  • Ativar registo de diagnóstico: Registar todas as operações de certificado, incluindo:

    • Criação e importação de certificados
    • Tentativas de renovação de certificados (sucesso/fracasso)
    • Acesso a certificados (obter certificado, obter chave privada)
    • Eliminação de certificados

    Ver registos do Azure Key Vault.

  • Configurar alertas de expiração: Defina alertas do Azure Monitor para:

    • Certificados com expiração no prazo de 30 dias
    • Tentativas falhadas de renovação
    • Acesso a certificados por identidades não autorizadas

    Consulte Monitoramento e alertas para o Azure Key Vault.

  • Rever a utilização dos certificados: Auditar regularmente quais as aplicações e serviços que utilizam cada certificado

Exportação e cópia de segurança de certificados

Proteja a disponibilidade dos certificados mantendo a segurança:

  • Controlo das operações de exportação: Limitar quem pode exportar certificados com chaves privadas (flag exportável na política de certificados)

  • Ativar eliminação suave: Recuperar certificados apagados acidentalmente dentro do período de retenção (7-90 dias). Veja uma visão geral sobre a eliminação reversível no Azure Key Vault

  • Ativar a proteção contra purgas: Evitar eliminações permanentes durante o período de retenção. Ver proteção contra purgas

  • Faça backup de certificados críticos: Exporte e armazene de forma segura backups de certificados para recuperação de desastres. Ver backup do Azure Key Vault

  • Proteger certificados exportados: Ao exportar certificados:

    • Use palavras-passe fortes para ficheiros PFX
    • Armazenar ficheiros exportados em locais seguros
    • Eliminar ficheiros temporários após a utilização
    • Operações de auditoria de exportação

Transparência e conformidade dos certificados

Mantenha a visibilidade sobre a emissão de certificados:

  • Ativar o registo de Transparência de Certificados (CT): Para certificados de confiança pública, assegure a conformidade com CT

    • Os registos CT fornecem registos públicos de auditoria da emissão de certificados
    • Necessária para que os certificados sejam confiáveis pelos navegadores modernos

  • Para efeitos do certificado de documentos: Manter registos de:

    • Finalidade do certificado e aplicação proprietária
    • Processo de aprovação para emissão de certificados
    • Procedimentos de renovação de certificados

Certificados autoassinados

Ao utilizar certificados auto-assinados para testes ou fins internos:

  • Limite a ambientes não de produção: Certificados auto-assinados não devem ser usados em produção para serviços acessíveis ao público

  • Defina períodos de validade apropriados: Use períodos de validade mais curtos para certificados auto-assinados (90 dias ou menos)

  • Gerir a distribuição da confiança: Documentar como a confiança em certificados autoassinados é distribuída aos clientes

  • Planear migração para certificados emitidos pela CA: Ter uma estratégia para substituir certificados auto-assinados por certificados emitidos pela CA para produção

Para mais informações sobre certificados auto-assinados, consulte Criar um certificado com o Key Vault.

Próximos passos

  • Last updated on