Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os segredos do Azure Key Vault armazenam credenciais sensíveis de aplicação, como palavras-passe, strings de ligação e chaves de acesso. Este artigo fornece recomendações de segurança específicas para a gestão de segredos.
Observação
Este artigo foca-se nas práticas de segurança específicas dos segredos do Key Vault. Para orientações abrangentes sobre segurança do Key Vault, incluindo segurança de rede, gestão de identidade e acessos, e arquitetura do cofre, consulte Secure your Azure Key Vault.
O que guardar como segredos
Os segredos do Azure Key Vault são concebidos para armazenar credenciais de serviço ou aplicação. Armazenar os seguintes tipos de dados como segredos:
- Credenciais da aplicação: Segredos da aplicação do cliente, chaves de API, credenciais do principal de serviço
- Cadeias de ligação: Cadeias de ligação a bases de dados, cadeias de ligação a contas de armazenamento
- Palavras-passe: Palavras-passe de serviço, palavras-passe de aplicação
- Chaves de acesso: chaves Redis Cache, chaves Azure Event Hubs, chaves Azure Cosmos DB, chaves Azure Storage
- Chaves SSH: Chaves SSH privadas para acesso seguro ao shell
Importante
Não armazene dados de configuração no Key Vault. Endereços IP, nomes de serviço, flags de funcionalidades e outras definições de configuração devem ser armazenados no Azure App Configuration em vez de no Key Vault. O Key Vault está otimizado para segredos criptográficos, não para gestão geral de configuração.
Para mais informações sobre segredos, consulte Acerca dos segredos do Azure Key Vault.
Formato de armazenamento de segredos
Ao armazenar segredos no Key Vault, siga estas melhores práticas de formatação:
Armazene as credenciais compostas corretamente: Para credenciais com múltiplos componentes (como nome de utilizador/palavra-passe), armazene-as como:
- Uma cadeia de ligação devidamente formatada, ou
- Um objeto JSON contendo os componentes da credencial
Use etiquetas para metadados: Armazene informações de gestão como cronogramas de rotação, datas de expiração e propriedade em etiquetas secretas em vez do valor secreto em si.
Minimizar o tamanho do segredo: Mantenha os valores do segredo concisos. Grandes cargas úteis devem ser armazenadas no Azure Storage com encriptação, usando uma chave Key Vault para encriptação e um segredo Key Vault para o token de acesso ao armazenamento.
Rotação dos segredos
Os segredos armazenados na memória da aplicação ou nos ficheiros de configuração persistem durante todo o ciclo de vida da aplicação, aumentando o risco de exposição. Implementar rotação regular de segredos para minimizar o risco de comprometimento.
- Rodar segredos regularmente: Rodar segredos pelo menos a cada 60 dias, ou com mais frequência para cenários de alta segurança
- Automatizar a rotação: Utilize as capacidades de rotação do Azure Key Vault para automatizar o processo de rotação
- Use credenciais duplas: Para rotação sem interrupção, implemente recursos com dois conjuntos de credenciais de autenticação
Para mais informações sobre a rotação de segredos, veja:
- Automatizar a rotação de credenciais secretas para recursos com um único conjunto de credenciais de autenticação
- Automatizar a rotação de segredos para recursos com dois conjuntos de credenciais de autenticação
Cache e desempenho de informações confidenciais
O Key Vault impõe limites de serviço para prevenir abusos. Para otimizar o acesso a segredos mantendo a segurança:
- Segredos de cache na memória: Armazene segredos em cache na sua aplicação durante pelo menos 8 horas para reduzir chamadas à API do Key Vault
- Implementar lógica de repetição: Usar lógica de repetição com retrocesso exponencial para lidar com falhas transitórias e controlo de limitação
- Atualização durante a rotação: Atualizar os valores armazenados em cache quando os segredos são rotacionados para garantir que as aplicações utilizem as credenciais mais recentes.
Para mais informações sobre limitação, consulte as orientações de limitação do Azure Key Vault.
Monitorização de segredos
Permitir a monitorização para rastrear padrões de acesso secreto e detetar potenciais problemas de segurança:
- Ativar o registo do Key Vault: Registar todas as operações de acesso secreto para detetar tentativas de acesso não autorizadas. Ver registo do Azure Key Vault
- Configurar notificações do Event Grid: Monitorizar eventos secretos do ciclo de vida (criados, atualizados, expirados, próximos a expirar) para fluxos de trabalho automatizados. Veja Azure Key Vault como fonte do Event Grid
- Configurar alertas: Configure alertas Azure Monitor para padrões de acesso suspeitos ou tentativas de autenticação falhadas. Veja Monitorização e alerta para Azure Key Vault
- Rever o acesso regularmente: Auditar periodicamente quem tem acesso a segredos e remover permissões desnecessárias
Artigos relacionados com segurança
- Proteja o seu Azure Key Vault - Orientação Abrangente de segurança do Key Vault
- Proteja as suas chaves do Azure Key Vault - Boas práticas de segurança para chaves criptográficas
- Proteja os seus certificados do Azure Key Vault - Boas práticas de segurança para certificados
Próximos passos
- Sobre os segredos do Azure Key Vault
- Guia do Desenvolvedor do Azure Key Vault
- Monitor Key Vault com Azure Monitor