Gestão de chaves e certificados na Microsoft Cloud for Sovereignty
A autenticação criptográfica e a encriptação são estratégias eficazes para cumprir os requisitos de confidencialidade, privacidade e soberania de dados. No entanto, a eficácia destas soluções depende da segurança e resiliência das tecnologias criptográficas e dos processos operacionais subjacentes. Este artigo apresenta conceitos com os quais deve estar familiarizado ao planear a utilização de chaves de encriptação e certificados digitais para proteger as cargas de trabalho que está a migrar para a cloud.
Gestão de chaves
Os materiais criptográficos são armazenados e geridos no Azure utilizando o Azure Key Vault, que está disponível nos modos de implementação multi-inquilino e de inquilino único. O Azure Key Vault (AKV) fornece gestão de chaves, segredos e certificados nativos da cloud num serviço multi-inquilino que é suportado por módulos de segurança de hardware validados pelo FIPS 140. O HSM Gerido do Azure Key Vault é um serviço de inquilino único que lhe fornece controlo administrativo total sobre o domínio de segurança da sua organização e as chaves de encriptação associadas.
Recomendações para um gestão eficaz das chaves
Os controlos de plataforma, embora imperativos, não são o único aspeto do gestão eficaz das chaves. A Microsoft também apresenta diversas melhores práticas para uma gestão eficaz das chaves.
Controlos de acesso
Se estiver a utilizar as SKUs Standard ou Premium do Azure Key Vault, recomendamos a implementação de um cofre por aplicação, ambiente e região, de forma a impor o menor privilégio. Se estiver a utilizar o HSM Gerido, a implementação de um número menor de cofres centralizados pode ser preferível para gerir os custos. Independentemente da SKU implementada, tem de regular rigorosamente o acesso ao cofre através do RBAC (Controlo de Acesso Baseado em Funções) e garantir que as políticas de acesso dentro de cada cofre seguem o princípio de privilégio mínimo. Recomendamos que conceda acesso a utilizadores, grupos e aplicações num âmbito específico, como uma subscrição, um grupo de recursos ou apenas um cofre de chaves específico, utilizando as funções predefinidas do Azure RBAC. O controlo do acesso é crítico e recomendado nos planos de gestão e de dados.
Cópia de segurança e recuperação
Precisa de efetuar cópias de segurança regularmente ao nível do HSM e para chaves específicas. Recomendamos que configure funcionalidades de eliminação recuperável e proteção contra purga para se prevenir contra eliminações acidentais e maliciosas. O Azure Monitor, que está totalmente integrado com o HSM Gerido, é recomendado para monitorizar e registar o acesso aos cofres de chaves. Para obter mais informações, consulte Melhores Práticas de HSM Gerido do Azure.
Rotação de chaves
Certifique-se de que são realizadas rotações regulares de Chaves Geridas pelo Cliente (CMKs), com a frequência determinada pela política da sua organização. As chaves também deverão ser rodadas se um administrador com acesso à chave sair ou mudar de função, ou se alguma CMK for comprometida. A rotação automática é suportada pelo Azure Key Vault e HSM Gerido do Azure. Sempre que possível, certifique-se de que o processo de rotação é automatizado, executado sem qualquer interação humana e testado para garantir a sua eficácia. Em emergências como uma chave comprometida, precisa de um sistema robusto para regenerar segredos imediatamente. Se a automatização deste processo não for viável, recomendamos a configuração de alertas para evitar expirações e indisponibilidades de certificados.
Nota
Embora a rotação de CMKs para VMs confidenciais seja suportada, o processo de automatização ainda não é suportado. Pode ver mais recomendações aqui.
Recomendações relacionadas com o HSM
Alguns clientes expressam interesse em manter as suas chaves separadas dos dados armazenando as chaves num HSM externo, seja no local ou numa cloud de terceiros. Embora este passo possa parecer uma transição natural a partir da gestão de ambientes no local, um HSM externo pode introduzir novos riscos nas camadas de identidade, rede e software. Um HSM externo também pode aumentar os riscos de desempenho e introduzir preocupações como problemas de rede que causam latência, problemas de SLA causados por problemas com o HSM de terceiros e custos de manutenção e formação. Além disso, os HSMs de terceiros podem não fornecer funcionalidades importantes, como a eliminação recuperável e a proteção contra remoção.
Para obter mais informações sobre os controlos técnicos incorporados na Zona de Pouso Soberana (SLZ) para impor práticas apropriadas de gestão de chaves, consulte portefólio de políticas.
Gestão de certificados
Os certificados de segurança digital são amplamente utilizados para proteger as comunicações para aplicações na cloud. A sobrecarga associada às atividades de gestão de certificados, incluindo a emissão, rotação e revogação de certificados, pode crescer rapidamente à medida que mais cargas de trabalho são migradas para a cloud. Os clientes que planeiam migrar as suas cargas de trabalho para a Microsoft Cloud for Sovereignty devem compreender os seus cenários de certificado de segurança digital para que possam desenvolver planos de gestão de certificados como parte da sua migração para a cloud.
Cenários comuns de certificados digitais
Esta secção descreve cenários comuns de cloud que utilizam certificados digitais para proteger as comunicações.
Autenticação e encriptação de sites
Os sites utilizam certificados TLS para verificar a identidade dos visitantes e encriptar as comunicações. Os sites públicos normalmente utilizam certificados de autoridades de certificação (AC) públicas, mas as organizações geralmente utilizam certificados de uma AC privada para sites que não estão expostos ao público. Em ambos os casos, os certificados para os sites têm de ser renovados quando expirarem ou quando a integridade do certificado estiver em causa. Para organizações com uma grande presença na Web, a gestão destes certificados pode exigir um planeamento e esforço significativos.
Autenticação do serviço
As aplicações distribuídas e os microsserviços geralmente utilizam um modelo de sessão sem estado, o que permite flexibilidade no processamento de pedidos de aplicações, mas também pode exigir autenticação e encriptação adicionais para reduzir os riscos de segurança. Os certificados são frequentemente utilizados para autenticação mútua entre camadas e componentes de aplicações. Muitas vezes, estes componentes são geridos por equipas descentralizadas de desenvolvimento de aplicações, o que dificulta a gestão dos certificados digitais a controlar e monitorizar em toda a empresa.
Autenticação da infraestrutura
Os servidores e os dispositivos de rede geralmente utilizam certificados de cliente para autenticação em toda a rede empresarial e durante as atividades de manutenção. As organizações que utilizam soluções como o Active Directory ou Kerberos geralmente precisam de gerir certificados de cliente para a respetiva infraestrutura implementada.
Outros cenários de certificado
As soluções de gestão de pontos finais geralmente utilizam certificados de dispositivo para autenticar dispositivos do utilizador final, como PCs, portáteis e dispositivos móveis. Os certificados de assinatura de código são utilizados em ambientes de desenvolvimento para verificar o fabricante de software como parte da abordagem de segurança da aplicação de uma organização.
Gestão do ciclo de vida de certificados na cloud
Certificados geridos pela plataforma vs. certificados geridos pelo cliente
Os serviços Azure PaaS que fornecem encriptação para dados em trânsito normalmente implementam a encriptação utilizando certificados digitais geridos pela plataforma e associados ao nome de anfitrião predefinido que é atribuído na criação dos recursos. Quando pretende utilizar um nome de domínio personalizado com os recursos que implementa na cloud, tem de configurar um certificado que possa ser utilizado por utilizadores externos quando acedem ao serviço. Para a comunicação intrasserviço entre os serviços do Azure que não estão configurados para utilizar nomes de domínio personalizados, os certificados geridos pela plataforma são o meio predefinido de encriptação dos dados em trânsito. Se pretender utilizar certificados associados a nomes de domínio personalizados, consulte a documentação dos serviços do Azure que pretende implementar, como os exemplos seguintes.
- Domínios personalizados no Serviço de Aplicações do Azure
- Domínios personalizados em Aplicações de Contentor do Azure
Criar certificados com o Azure Key Vault
O Azure Key Vault fornece aos clientes funcionalidades de gestão de certificados nativos da cloud que permitem que a plataforma Azure utilize certificados criados ou importados pelos clientes. Pode criar certificados autoassinados no Key Vault, solicitar um certificado de um emissor ou importar um certificado a partir da sua própria autoridade de certificação. O Key Vault também o ajuda a especificar políticas para certificados, tais como tornar os certificados exportáveis ou não exportáveis.
- Introdução aos Certificados do Key Vault
- Integração do Key Vault com as Autoridades de Certificação Integradas
- Criar e unir um pedido de assinatura de certificado no Key Vault
Criar certificados no local e geri-los no Azure
Se pretender emitir certificados de uma autoridade de certificação no local, pode importar esses certificados para o Azure Key Vault para utilização por outros serviços do Azure. Depois de um certificado ser exportado como um ficheiro PEM ou PFX, pode importá-lo para o Azure Key Vault.
Criar e gerir certificados no local com soluções de terceiros
As organizações que já têm capacidades de gestão de certificados de nível empresarial podem considerar se devem integrar as suas soluções no local com as suas cargas de trabalho na cloud. Muitas soluções de autoridade de certificação e gestão de certificados no local podem ser integradas com o Key Vault utilizando a API REST e as identidades geridas.
Gestão de certificados descentralizados
Uma abordagem para dimensionar as capacidades de gestão de certificados de uma organização é descentralizar a emissão e a gestão de certificados para as equipas de aplicações e infraestrutura. As soluções como o Azure Key Vault permitem que uma organização normalize tecnologias e processos de gestão de chaves aceitáveis, sem centralizar a administração desses processos de gestão de chaves numa única equipa de operações. Podem ser utilizadas diversas estratégias para delegar responsabilidades de gestão de chaves para mais perto das equipas de aplicações e infraestrutura.
Certificados geridos
Os sites destinados ao público que exigem certificados de uma autoridade de certificação pública podem tirar partido dos certificados geridos nos serviços Azure PaaS, como o Serviço de Aplicações do Azure ou o Azure Front Door. Os certificados das autoridades de certificação integradas também podem ser criados, geridos e rodados no Azure Key Vault. Para obter mais informações, consulte os seguintes recursos:
- Domínios personalizados e certificados no Serviço de Aplicações do Azure
- Domínios personalizados no Azure Front Door
- Integração do Key Vault com a autoridade de certificação DigiCert
Automatizar a emissão de certificados em pipelines de CI/CD
As organizações que adotam os processos de Dev/Ops podem automatizar a emissão de certificados como parte dos seus pipelines de CI/CD. Esta abordagem delega algumas responsabilidades de gestão de certificados às equipas de aplicações e permite-lhes aprovisionar os seus próprios certificados utilizando serviços nativos do Azure, como o DNS do Azure, o Serviço de Aplicações do Azure e o Azure Key Vault.
Gerir certificados de ponto final
Os certificados de ponto final são utilizados em cargas de trabalho IaaS, em que os servidores e serviços utilizam os certificados para autenticação. Dado que este cenário está associado a máquinas virtuais, as organizações podem gerir estes certificados utilizando as mesmas ferramentas de gestão de configuração ou ferramentas de automatização de compilação utilizadas para gerir as configurações das máquinas virtuais.