Melhores práticas para usar o Azure Key Vault

  • Artigo

O Azure Key Vault protege segredos e chaves de criptografia, como certificados, cadeias de conexão e senhas. Este artigo ajuda você a otimizar o uso de cofres de chaves.

Usar cofres de chaves separados

Recomenda-se usar um cofre por aplicativo por ambiente (desenvolvimento, pré-produção e produção), por região. O isolamento granular ajuda você a não compartilhar segredos entre aplicativos, ambientes e regiões, e também reduz a ameaça se houver uma violação.

Por que recomendamos cofres de chaves separados?

Os cofres de chaves definem limites de segurança para segredos armazenados. Agrupar segredos no mesmo cofre aumenta o raio de explosão de um evento de segurança porque os ataques podem ser capazes de acessar segredos através de interesses. Para atenuar as questões de acesso, considere a quais segredos um aplicativo específico deve ter acesso e, em seguida, separe seus cofres de chaves com base nessa delineação. Separar cofres de chaves por aplicativo é o limite mais comum. Os limites de segurança, no entanto, podem ser mais granulares para aplicativos grandes, por exemplo, por grupo de serviços relacionados.

Controlar o acesso ao seu cofre

Chaves e segredos de criptografia, como certificados, cadeias de conexão e senhas são confidenciais e comercialmente críticos. Você precisa proteger o acesso aos cofres de chaves permitindo apenas aplicativos e usuários autorizados. Os recursos de segurança do Azure Key Vault fornece uma visão geral do modelo de acesso do Key Vault. Ele explica a autenticação e a autorização. Também descreve como proteger o acesso aos cofres de chaves.

As recomendações para controlar o acesso ao seu cofre são as seguintes:

  • Bloqueie o acesso à sua assinatura, grupo de recursos e cofres de chaves usando o modelo de permissão de controle de acesso baseado em função (RBAC) para plano de dados.
    • Atribuir funções RBAC no escopo do Key Vault para aplicativos, serviços e cargas de trabalho que exigem acesso persistente ao Key Vault
    • Atribuir funções RBAC qualificadas just-in-time para operadores, administradores e outras contas de usuário que exigem acesso privilegiado ao Key Vault usando Privileged Identity Management (PIM)
      • Exigir pelo menos um aprovador
      • Impor autenticação multifator
  • Restringir o acesso à rede com Link Privado, firewall e redes virtuais

Importante

O modelo de permissão de Políticas de Acesso Herdado tem vulnerabilidades de segurança conhecidas e falta de suporte ao Gerenciamento de Identidades Priviliged e não deve ser usado para cargas de trabalho e dados críticos.

Ativar a proteção de dados para o seu cofre

Ative a proteção de limpeza para se proteger contra a exclusão mal-intencionada ou acidental dos segredos e do cofre de chaves, mesmo após a ativação da exclusão reversível.

Para obter mais informações, confira Visão geral da exclusão temporária do Azure Key Vault.

Ativar o registro em log

Ative o registro em log para o cofre. Além disso, configure alertas.

Backup

A proteção contra limpeza impede a exclusão mal-intencionada e acidental de objetos do cofre por até 90 dias. Em cenários em que a proteção contra limpeza não é uma opção possível, recomendamos backup de objetos do cofre, que não podem ser recriados de outras fontes, como chaves de criptografia geradas no cofre.

Para obter mais informações sobre backup, veja Backup e restauração do Azure Key Vault.

Soluções multilocatário e Key Vault

Uma solução multilocatário é criada em uma arquitetura em que os componentes são usados para atender vários clientes ou locatários. As soluções multilocatário geralmente são usadas para dar suporte a soluções SaaS (software como serviço). Se você estiver criando uma solução multilocatário que inclua o Key Vault, é recomendável usar um Key Vault por cliente para fornecer isolamento para dados e cargas de trabalho dos clientes, examine Multilocatário e Azure Key Vault.

Perguntas Frequentes:

Posso usar atribuições de escopo de objeto de modelo de permissão de RBAC (controle de acesso baseado em função) do Key Vault para fornecer isolamento para equipes de aplicativos no Key Vault?

Não. O modelo de permissão RBAC permite atribuir acesso a objetos individuais no Key Vault para o usuário ou aplicativo, mas somente para leitura. Todas as operações administrativas, como controle de acesso à rede, monitoramento e gerenciamento de objetos, exigem permissões no nível do cofre. Ter um Key Vault por aplicativo fornece isolamento seguro para operadores entre equipes de aplicativos.

Próximas etapas

Saiba mais sobre as principais práticas recomendadas de gerenciamento: