Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Ativos criptográficos, como certificados, chaves e segredos, têm tempos de vida limitados. Como prática recomendada de segurança, esses ativos devem ser alternados regularmente para reduzir o risco de comprometimento e garantir a conformidade com as políticas de segurança. O Azure Key Vault fornece recursos de automação para rotacionar esses ativos, ajudando as organizações a manter uma postura de segurança forte com sobrecarga operacional mínima.
O que é a autorotação?
A rotação automática é o processo de substituição automática de ativos criptográficos por novos ativos em intervalos predefinidos ou em resposta a eventos específicos. No Azure Key Vault, os recursos de rotação automática variam dependendo do tipo de ativo:
- Chaves: Geração automática de novas versões de chaves com base em políticas de rotação configuradas
- Segredos: Atualizações de segredos acionadas por eventos com integração aos sistemas que os utilizam
- Certificados: Renovação automática de certificados antes de caducarem
Benefícios da rotação automática
A implementação da rotação automática para seus ativos criptográficos oferece vários benefícios:
- Segurança reforçada: a rotação regular de material criptográfico reduz o risco de comprometimento
- Conformidade simplificada: atenda aos requisitos normativos e organizacionais para o gerenciamento do ciclo de vida de ativos criptográficos
- Eficiência operacional: Reduzir o esforço manual e o risco de erro humano nos processos de rotação
- Redução do tempo de inatividade: a rotação proativa antes da expiração evita interrupções do serviço
- Gerenciamento escalável: automatize a rotação entre vários ativos e serviços
Rotação automática para diferentes tipos de ativos
Rotação automática de chaves
As chaves no Cofre de Chaves do Azure podem ser configuradas com políticas de rotação que geram automaticamente novas versões de chaves em frequências especificadas. Isso é útil para chaves usadas como chaves gerenciadas pelo cliente (CMKs) nos serviços do Azure.
Suportes para a rotação automática de chaves:
- Intervalos de rotação configuráveis (mínimo de sete dias)
- Notificações próximas do prazo de validade via Event Grid
- Rotação sob demanda, além da rotação programada
- Integração com serviços do Azure usando CMKs
Saiba como configurar a rotação automática de chaves no Azure Key Vault
Autorrotação secreta
Os segredos no Cofre da Chave do Azure podem ser configurados para rotação automática usando funções do Azure acionadas por eventos da Grade de Eventos. Isso é valioso para credenciais de banco de dados, chaves de API e outras informações confidenciais que exigem atualizações regulares.
A rotação automática secreta suporta:
- Acionamento baseado em eventos por meio da grade de eventos
- Integração com o Azure Functions para lógica de rotação personalizada
- Notificações de expiração iminente para lembretes de rotação manual
- Atualizando serviços dependentes com novos valores secretos
O Azure Key Vault suporta dois cenários de rotação secreta:
- Saiba como implementar a rotação automática secreta para recursos com um conjunto de credenciais de autenticação
- Saiba como implementar a rotação automática secreta para recursos com dois conjuntos de credenciais de autenticação
Autorotação de certificados
Os certificados armazenados no Cofre de Chaves do Azure podem ser renovados automaticamente antes de expirarem. O Key Vault lida com a renovação de certificados com autoridades de certificação (CAs) integradas ou por meio da regeneração de certificados autoassinados.
A rotação automática de certificados suporta:
- Configuração dos períodos de validade
- Renovação automática a uma percentagem especificada do tempo de vida ou dias antes da expiração
- Notificações por e-mail para expiração do certificado
- Integração com autoridades de certificação como DigiCert e GlobalSign
Saiba como configurar a rotação automática de certificados no Cofre da Chave do Azure
Práticas recomendadas para autorotação
Ao implementar a rotação automática no Cofre de Chaves do Azure, considere estas práticas recomendadas:
- Usar controle de versão: certifique-se de que os sistemas façam referência à versão mais recente de uma chave, certificado ou segredo automaticamente
- Implementar controles de acesso adequados: use o RBAC do Azure para controlar quem pode configurar políticas de rotação
- Monitorar eventos de rotação: configure notificações e alertas para rotações bem-sucedidas e com falha
- Procedimentos de rotação de teste: valide se os sistemas dependentes podem lidar com ativos rotacionados corretamente
- Configurar frequências de rotação apropriadas: equilibre os requisitos de segurança com considerações operacionais
- Documente procedimentos de contingência: Tenha processos de rotação manual documentados para cenários de emergência
- Siga as práticas recomendadas de segurança: implemente medidas de segurança abrangentes, conforme descrito em Proteja seu Cofre de Chaves do Azure
Cenários comuns de autorrotação
Chaves gerenciadas pelo cliente para serviços do Azure
Muitos serviços do Azure oferecem suporte à criptografia com chaves gerenciadas pelo cliente armazenadas no Cofre da Chave. Quando essas chaves são configuradas para rotação automática, os serviços usam automaticamente a versão de chave mais recente para novas operações de criptografia, mantendo o acesso aos dados criptografados com versões anteriores.
Credenciais do banco de dados
As credenciais de banco de dados armazenadas como segredos no Cofre de Chaves podem ser alternadas automaticamente com aplicativos de função que não apenas atualizam o segredo no Cofre de Chaves, mas também aplicam as novas credenciais ao banco de dados.
Chaves de API e credenciais de serviço
A rotação automática de chaves de API e credenciais de serviço ajuda a manter a segurança, limitando a vida útil desses ativos confidenciais. Ao implementar a rotação com o Azure Functions, podes atualizar tanto o Azure Key Vault como os serviços de destino.