Compartir a través de


Procedimientos recomendados para usar Azure Key Vault

Azure Key Vault protege las claves de cifrado y los secretos, como certificados, cadenas de conexión y contraseñas. Este artículo le ayuda a optimizar el uso de almacenes de claves.

Uso de almacenes de claves independientes

Nuestra recomendación es usar un almacén por aplicación por entorno (desarrollo, preproducción y producción) por región. El aislamiento granular le ayuda a no compartir secretos entre aplicaciones, entornos y regiones, y también reduce la amenaza si hay una infracción.

Por qué se recomiendan almacenes de claves independientes

Bóvedas de claves definen límites de seguridad para secretos almacenados. La agrupación de secretos en el mismo almacén aumenta el radio de explosión de un evento de seguridad, ya que es posible que los ataques puedan acceder a secretos en los problemas. Para mitigar el acceso entre problemas, tenga en cuenta los secretos a los que una aplicación específica debe tener acceso y, a continuación, separar los almacenes de claves en función de esta delimitación. La separación de almacenes de claves por aplicación es el límite más común. Sin embargo, los límites de seguridad pueden ser más granulares para aplicaciones grandes, por ejemplo, por grupo de servicios relacionados.

Control del acceso al almacén

Las claves de cifrado y los secretos, como certificados, cadenas de conexión y contraseñas, son confidenciales y críticos para la empresa. Debe proteger el acceso a los almacenes de claves al permitir solo aplicaciones y usuarios autorizados. Las características de seguridad de Azure Key Vault proporcionan información general sobre el modelo de acceso de Key Vault. Se explica la autenticación y la autorización. También se describe cómo proteger el acceso a los almacenes de claves.

Las recomendaciones para controlar el acceso al almacén son las siguientes:

  • Bloquee el acceso a la suscripción, el grupo de recursos y los almacenes de claves mediante el modelo de permisos de control de acceso basado en rol (RBAC) para el plano de datos.
    • Asignación de roles de RBAC en el ámbito de Key Vault para aplicaciones, servicios y cargas de trabajo que requieren acceso persistente a Key Vault
    • Asignar roles RBAC aptos para Just-In-Time para operadores, administradores y otras cuentas de usuario que requieren acceso con privilegios a Key Vault mediante Privileged Identity Management (PIM)
      • Requerir al menos un aprobador
      • Aplicación de la autenticación multifactor
  • Restricción del acceso de red con Private Link, firewall y redes virtuales

Importante

El modelo de permisos de las políticas de acceso heredadas tiene vulnerabilidades de seguridad conocidas y carece de compatibilidad con Privileged Identity Management, y no debe usarse para datos y cargas de trabajo críticos.

Activación de la protección de datos para el almacén

Active la protección de purga para protegerse contra la eliminación malintencionada o accidental de los secretos y el almacén de claves incluso después de activar la eliminación temporal.

Para más información, vea Información general sobre la eliminación temporal de Azure Key Vault.

Activar el registro

Active el registro en el almacén. Además, configure alertas.

Copia de seguridad

La protección de purga evita la eliminación malintencionada y accidental de objetos de almacén durante un máximo de 90 días. En escenarios, cuando la protección de purga no es una opción posible, se recomiendan objetos del almacén de copia de seguridad, que no se pueden volver a crear desde otros orígenes, como las claves de cifrado generadas dentro del almacén.

Para más información sobre la copia de seguridad, consulte Copia de seguridad y restauración de Azure Key Vault.

Soluciones multicliente y Key Vault

Una solución multiinquilino se basa en una arquitectura en la que se usan componentes para atender a varios clientes o inquilinos. Las soluciones multiinquilino se suelen usar para respaldar soluciones de software como servicio (SaaS). Si va a crear una solución multiinquilino que incluya Key Vault, se recomienda usar una instancia de Key Vault por cliente para proporcionar aislamiento para los datos y cargas de trabajo de los clientes, consulte Multiinquilino y Azure Key Vault.

Preguntas más frecuentes:

¿Puedo usar asignaciones del ámbito de objetos del modelo de permisos del control de acceso basado en rol (RBAC) de Key Vault para proporcionar aislamiento a los equipos de aplicaciones dentro de Key Vault?

No. El modelo de permisos RBAC permite asignar acceso a objetos individuales de Key Vault al usuario o a la aplicación, pero solo para lectura. Las operaciones administrativas como el control de acceso a la red, la supervisión y la administración de objetos requieren permisos de nivel de almacén. Tener una instancia de Key Vault por aplicación proporciona aislamiento seguro para los operadores en todos los equipos de aplicaciones.

Pasos siguientes

Obtenga más información sobre los procedimientos recomendados de administración de claves: