Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los secretos de Azure Key Vault almacenan credenciales de aplicación confidenciales, como contraseñas, cadenas de conexión y claves de acceso. En este artículo se proporcionan recomendaciones de seguridad específicas de la administración de secretos.
Nota:
Este artículo se centra en los procedimientos de seguridad específicos de los secretos de Key Vault. Para obtener una guía completa de seguridad de Key Vault, incluida la seguridad de la red, la administración de identidades y acceso, y la arquitectura de la bóveda, consulte Protección de Azure Key Vault.
Qué almacenar como secretos
Los secretos de Azure Key Vault están diseñados para almacenar credenciales de aplicación o servicio. Almacene los siguientes tipos de datos como secretos:
- Credenciales de aplicación: secretos de aplicación cliente, claves de API, credenciales de entidad de servicio
- Cadenas de conexión: cadenas de conexión de base de datos, cadenas de conexión de la cuenta de almacenamiento
- Contraseñas: contraseñas de servicio, contraseñas de aplicación
- Claves de acceso: claves de Redis Cache, claves de Azure Event Hubs, claves de Azure Cosmos DB, claves de Azure Storage
- Claves SSH: Claves SSH privadas para acceso seguro a Shell
Importante
No almacene datos de configuración en Key Vault. Las direcciones IP, los nombres de servicio, las marcas de características y otras opciones de configuración deben almacenarse en Azure App Configuration en lugar de en Key Vault. Key Vault está optimizado para secretos criptográficos, no para la administración general de la configuración.
Para más información sobre los secretos, consulte Acerca de los secretos de Azure Key Vault.
Formato de almacenamiento de secretos
Al almacenar secretos en Key Vault, siga estos procedimientos recomendados de formato:
Almacenar las credenciales compuestas correctamente: para las credenciales con varios componentes (como nombre de usuario y contraseña), almacénelos como:
- Una cadena de conexión con el formato correcto, o
- Objeto JSON que contiene los componentes de credenciales
Usar etiquetas para metadatos: almacene información de administración como programaciones de rotación, fechas de expiración y propiedad en etiquetas secretas en lugar de en el propio valor secreto.
Minimizar el tamaño del secreto: mantenga los valores secretos concisos. Las cargas grandes deben almacenarse en Azure Storage con cifrado, mediante una clave de Key Vault para el cifrado y un secreto de Key Vault para el token de acceso de almacenamiento.
Rotación de secretos
Los secretos almacenados en la memoria de la aplicación o los archivos de configuración se conservan durante todo el ciclo de vida de la aplicación, lo que aumenta el riesgo de exposición. Implemente la rotación regular de secretos para minimizar el riesgo de compromiso.
- Rotación periódica de secretos: rotación de secretos al menos cada 60 días o con más frecuencia para escenarios de alta seguridad
- Automatización de la rotación: uso de las funcionalidades de rotación de Azure Key Vault para automatizar el proceso de rotación
- Uso de credenciales duales: para la rotación de tiempo de inactividad cero, implemente recursos con dos conjuntos de credenciales de autenticación.
Para obtener más información sobre la rotación de secretos, consulte:
- Automatiza la rotación de secretos para recursos con un único conjunto de credenciales de autenticación
- Automatización de la rotación de secretos para recursos con dos conjuntos de credenciales de autenticación
Almacenamiento en caché y rendimiento de secretos
Key Vault aplica límites de servicio para evitar el abuso. Para optimizar el acceso a secretos mientras se mantiene la seguridad:
- Almacenamiento en caché de secretos en memoria: almacene en caché los secretos de la aplicación durante al menos 8 horas para reducir las llamadas api de Key Vault.
- Implementar la lógica de reintento: use la lógica de reintentos de retroceso exponencial para controlar errores transitorios y la limitación
- Actualizar al rotar: actualice los valores almacenados en caché cuando se rotan los secretos para asegurarse de que las aplicaciones usan las credenciales actuales.
Para obtener más información sobre las limitaciones, consulte Guía de las limitaciones de Azure Key Vault.
Supervisión de secretos
Habilite la supervisión para realizar un seguimiento de los patrones de acceso secreto y detectar posibles problemas de seguridad:
- Habilitar el registro de Key Vault: registre todas las operaciones de acceso secreto para detectar intentos de acceso no autorizados. Consulte Registro de Azure Key Vault
- Configurar notificaciones de Event Grid: supervise los eventos del ciclo de vida de secretos (creados, actualizados, expirados, a punto de expirar) para flujos de trabajo automatizados. Consulte Azure Key Vault como origen de Event Grid.
- Configurar alertas: configure alertas de Azure Monitor para patrones de acceso sospechosos o intentos de autenticación erróneos. Consulte Supervisión y alertas de Azure Key Vault.
- Revisar el acceso periódicamente: audite periódicamente quién tiene acceso a secretos y quite permisos innecesarios.
Artículos de seguridad relacionados
- Protección de Azure Key Vault : guía de seguridad completa de Key Vault
- Protección de las claves de Azure Key Vault : procedimientos recomendados de seguridad para claves criptográficas
- Protección de los certificados de Azure Key Vault : procedimientos recomendados de seguridad para certificados