Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As chaves Azure Key Vault protegem chaves criptográficas usadas para encriptação, assinaturas digitais e operações de envolvimento de chaves. Este artigo fornece recomendações de segurança específicas para a gestão de chaves criptográficas.
Observação
Este artigo concentra-se nas práticas de segurança específicas das chaves do Cofre de Chaves. Para orientações abrangentes sobre segurança do Key Vault, incluindo segurança de rede, gestão de identidade e acessos, e arquitetura do cofre, consulte Secure your Azure Key Vault.
Tipos de chave e níveis de proteção
O Azure Key Vault suporta diferentes tipos de chaves com diferentes níveis de proteção. Escolha o tipo de chave apropriado com base nos seus requisitos de segurança:
Chaves protegidas por software (RSA, EC): Chaves protegidas por software validado FIPS 140-2 Nível 1. Adequado para a maioria das aplicações que requerem encriptação e operações de assinatura.
Chaves protegidas por HSM (RSA-HSM, EC-HSM): Chaves protegidas por módulos de segurança de hardware (HSMs) validados por FIPS 140-2 Nível 2. Recomendado para cenários de alta segurança que requerem proteção de chaves suportada por hardware.
Chaves HSM geridas: Chaves em pools HSM dedicados, de inquilino único, com hardware validado FIPS 140-2 Nível 3. Exigido para os mais elevados requisitos de segurança e conformidade.
Para mais informações sobre tipos de chaves, consulte Sobre as chaves do Azure Key Vault.
Utilização e operações de chave
Restringa as operações-chave apenas às necessárias para a sua aplicação para minimizar a superfície de ataque:
- Limitar as operações da chave: conceder apenas permissões necessárias (encriptar, desencriptar, assinar, verificar, envolver a chave, desfazer a chave)
- Use tamanhos de chave apropriados
- Chaves RSA: Use um mínimo de 2048 bits, 4096 bits para cenários de alta segurança
- Utilize curvas P-256, P-384 ou P-521 com base nos requisitos de segurança para chaves EC.
- Separar chaves por propósito: Use chaves diferentes para operações de encriptação em vez de assinatura para limitar o impacto caso uma chave seja comprometida
Para mais informações sobre operações de chave, consulte Operações de chave no Cofre de Chaves.
Rotação de chaves e versionamento
Implemente rotação regular de teclas para limitar a exposição de teclas comprometidas:
- Ativar rotação automática de chaves: Configurar políticas de rotação automática para rodar chaves sem tempo de inatividade da aplicação. Ver Configurar a autorrotação de chaves
- Definir a frequência de rotação: Rodar as chaves de encriptação pelo menos uma vez por ano, ou mais frequentemente com base nos requisitos de conformidade
- Use o versionamento de chaves: O Key Vault gere automaticamente as versões das chaves, permitindo uma rotação sem interrupções, mantendo os dados encriptados existentes intactos.
- Planeie a reencriptação: Para dados de longo prazo, implemente estratégias para reencriptar os dados com novas versões de chave
Para mais informações sobre rotação, consulte Configurar autorrotação de chaves criptográficas no Azure Key Vault.
Backup e recuperação de chaves
Proteja-se contra a perda de dados implementando procedimentos adequados de backup e recuperação:
- Ativar a eliminação suave: A eliminação suave permite a recuperação de chaves eliminadas dentro de um período de retenção (7-90 dias). Veja uma visão geral sobre a eliminação reversível no Azure Key Vault
- Ativar a proteção contra purgas: Evitar a eliminação permanente de chaves durante o período de retenção. Ver proteção contra purgas
- Faça backup de chaves críticas: Exporte e armazene de forma segura cópias de segurança de chaves que protejam dados insubstituíveis. Ver backup do Azure Key Vault
- Procedimentos de recuperação de documentos: Manter manuais para cenários principais de recuperação
Traga sua própria chave (BYOK)
Ao importar as suas próprias chaves para o Key Vault, siga as melhores práticas de segurança:
- Use geração segura de chaves: Gerar chaves em HSMs FIPS 140-2 Nível 2 ou superiores
- Proteja as chaves durante a transferência: Use o processo BYOK do Key Vault para transferir as chaves de forma segura. Ver Importar chaves protegidas por HSM para o Key Vault (BYOK)
- Validar importação de chaves: Verificar atributos e permissões da chave após a importação
- Manter a proveniência das chaves: Documentar a origem e o método de transferência das chaves importadas
Para mais informações sobre BYOK, consulte Importar chaves protegidas por HSM para Key Vault.
Libertação de chaves e atestação
Para cenários que requerem a libertação de chaves para ambientes de confiança:
- Use políticas de libertação de chaves: Configure políticas de libertação baseadas em atestação para controlar quando as chaves podem ser libertadas do Key Vault
- Verificar ateste: Garantir que os ambientes solicitantes fornecem ateste válido antes de liberar as chaves
- Auditar liberação de chaves: Monitorizar e registar todas as operações de libertação de chaves
Para mais informações sobre a libertação de chaves, consulte libertação de chaves do Azure Key Vault.
Monitorização e auditoria
Acompanhe o uso de chaves para detetar acessos não autorizados ou padrões suspeitos:
- Ativar registo diagnóstico: Registar todas as operações-chave para análise de segurança. Ver registo do Azure Key Vault
- Monitorizar operações de chave: Acompanhar operações de encriptação, desencriptação, assinatura e verificação para estabelecer padrões de utilização de referência
-
Configurar alertas: Configurar alertas Azure Monitor para:
- Padrões invulgares de acesso à chave
- Operações de chave falhadas
- Eliminações ou modificações de chaves
- Chave prestes a expirar
Consulte Monitoramento e alertas para o Azure Key Vault.
Expiração da chave
Defina datas de validade para as chaves quando apropriado:
- Expiração definida para chaves temporárias: As chaves usadas para fins limitados no tempo devem ter datas de validade
- Monitorizar as chaves a expirar: Use as notificações da Grade de Eventos para alertar antes de as chaves expirarem. Veja Azure Key Vault como fonte do Event Grid
- Automatizar a renovação de chaves: Implementar processos automatizados para rodar as chaves antes da expiração
Artigos relacionados com segurança
- Proteja o seu Azure Key Vault - Orientação Abrangente de segurança do Key Vault
- Proteja os seus segredos do Azure Key Vault - Boas práticas de segurança para segredos
- Proteja os seus certificados do Azure Key Vault - Boas práticas de segurança para certificados
Próximos passos
- Sobre as chaves do Azure Key Vault
- Configurar autorrotação de chaves criptográficas no Azure Key Vault
- Guia do Desenvolvedor do Azure Key Vault