Procedimientos recomendados para usar Azure Key Vault

Azure Key Vault protege claves de cifrado y secretos como certificados, cadenas de conexión y contraseñas. Este artículo le ayuda a optimizar el uso de los almacenes de claves.

Uso de instancias de Key Vault independientes

Nuestra recomendación es usar un almacén por aplicación, entorno (desarrollo, preproducción y producción) y región. El aislamiento pormenorizado le ayuda a no compartir secretos entre aplicaciones, entornos y regiones, y también reduce la amenaza si hay una vulneración.

Motivos para recomendar almacenes de claves independientes

Los almacenes de claves definen los límites de seguridad para los secretos almacenados. La agrupación de secretos en el mismo almacén aumenta el radio del impacto de un evento de seguridad, ya que los ataques podrían tener acceso a información confidencial. Para reducir esta posibilidad, tenga en cuenta a qué información confidencial debería tener acceso una aplicación específica y, después, separe los almacenes de claves en función de esta delineación. La separación de almacenes de claves por aplicación es el límite más común. Sin embargo, los límites de seguridad pueden ser más específicos para aplicaciones grandes, por ejemplo, por grupo de servicios relacionados.

Controlar el acceso al almacén

Las claves de cifrado y secretos como certificados, cadenas de conexión y contraseñas son confidenciales y críticos para la empresa. Debe proteger el acceso a los almacenes de claves permitiendo el acceso unicamente a aplicaciones y usuarios autorizados. Las características de seguridad de Azure Key Vault proporcionan información general sobre el modelo de acceso de Key Vault. Explica la autenticación y la autorización. También describe cómo proteger el acceso a los almacenes de claves.

Estas son algunas recomendaciones para controlar el acceso al almacén:

• Bloquee el acceso a su suscripción, grupo de recursos y almacenes de claves mediante el control de acceso basado en roles (RBAC).
• Asignación de roles RBAC en el ámbito de Key Vault para aplicaciones, servicios y cargas de trabajo que requieren acceso persistente a Key Vault
• Asignar roles RBAC aptos para Just-In-Time para operadores, administradores y otras cuentas de usuario que requieren acceso con privilegios a Key Vault mediante Privileged Identity Management (PIM)
  • Requerir al menos un aprobador
  • Aplicación de Multi-Factor Authentication
• Restricción del acceso a la red con Private Link, firewall y redes virtuales

Activación de la protección de datos para el almacén

Active la protección frente a purgas para una protección frente eliminaciones malintencionadas o accidentales de secretos o del almacén de claves, incluso con la eliminación temporal activada.

Para más información, consulte Información general sobre la eliminación temporal de Azure Key Vault.

Active el registro.

Active el registro en el almacén. De igual modo, configure alertas.

Backup

La protección frente a purgas evita la eliminación malintencionada y accidental de objetos de almacén durante un máximo de 90 días. En escenarios en los que la protección frente a purgas no es una opción posible, se recomienda hacer una copia de seguridad de los objetos del almacén que no se pueden volver a crear desde otros orígenes, como las claves de cifrado generadas en el almacén.

Para más información sobre la copia de seguridad, consulte Copia de seguridad y restauración de Azure Key Vault.

Soluciones multiinquilino y Key Vault

Una solución multiinquilino se basa en una arquitectura en la que los componentes se usan para dar servicio a varios clientes o inquilinos. Las soluciones multiinquilino se suelen usar para soluciones de software como servicio (SaaS). Si va a crear una solución multiinquilino que incluya Key Vault, consulte Soluciones multiinquilino y Azure Key Vault.

Preguntas más frecuentes:

¿Puedo usar asignaciones del ámbito de objetos del modelo de permisos del control de acceso basado en rol (RBAC) de Key Vault para proporcionar aislamiento a los equipos de aplicaciones dentro de Key Vault?

No. El modelo de permisos RBAC permite asignar acceso a objetos individuales en Key Vault a usuarios o aplicaciones, pero solo para lectura. Las operaciones administrativas, como el control de acceso a la red, la supervisión y la administración de objetos, requieren permisos de nivel de almacén. Tener una instancia de Key Vault por aplicación proporciona aislamiento seguro para los operadores en todos los equipos de la aplicación.

Pasos siguientes

Obtenga más información sobre los procedimientos recomendados de administración de claves:

• Procedimientos recomendados para la administración de secretos en Key Vault
• Procedimientos recomendados para HSM administrado de Azure