Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los secretos de Azure Key Vault almacenan credenciales de aplicación confidenciales, como contraseñas, cadenas de conexión y claves de acceso. En este artículo se proporcionan recomendaciones de seguridad específicas de la administración de secretos.
Nota:
Este artículo se centra en las prácticas de seguridad específicas de secretos de Key Vault. Para obtener instrucciones completas sobre la seguridad de Key Vault, incluidas la seguridad de red, la administración de identidades y accesos y la arquitectura de Key Vault, consulte Asegure su Azure Key Vault.
Qué almacenar como secretos
Los secretos de Azure Key Vault están diseñados para almacenar credenciales de servicio o aplicación. Almacene los siguientes tipos de datos como secretos:
- Credenciales de aplicación: secretos de aplicación cliente, claves de API, credenciales de entidad de servicio
- Cadenas de conexión: cadenas de conexión de base de datos, cadenas de conexión de la cuenta de almacenamiento
- Contraseñas: contraseñas de servicio, contraseñas de aplicación
- claves de Access: claves de Redis Cache, claves de Azure Event Hubs, claves de Azure Cosmos DB, claves de Azure Storage
- Claves SSH: Claves SSH privadas para acceso seguro a Shell
Importante
No almacene datos de configuración en Key Vault. Las direcciones IP, los nombres de servicio, las marcas de características y otras opciones de configuración deben almacenarse en Azure App Configuration en lugar de en Key Vault. Key Vault está optimizado para secretos criptográficos, no para la administración general de la configuración.
Para obtener más información sobre los secretos, consulte About Azure Key Vault secrets.
Formato de almacenamiento de secretos
Al almacenar secretos en Key Vault, siga estos procedimientos recomendados de formato:
Almacenar las credenciales compuestas correctamente: para las credenciales con varios componentes (como nombre de usuario y contraseña), almacénelos como:
- Un cadena de conexión con formato correcto o
- Objeto JSON que contiene los componentes de credenciales
Usar etiquetas para metadatos: almacene información de administración como programaciones de rotación, fechas de expiración y propiedad en etiquetas secretas en lugar de en el propio valor secreto.
Minimizar el tamaño del secreto: mantenga los valores secretos concisos. Las cargas grandes deben almacenarse en Azure Storage con cifrado, mediante una clave de Key Vault para el cifrado y un secreto de Key Vault para el token de acceso de almacenamiento.
Rotación de secretos
Los secretos almacenados en la memoria de la aplicación o los archivos de configuración se conservan durante todo el ciclo de vida de la aplicación, lo que aumenta el riesgo de exposición. Implemente la rotación regular de secretos para minimizar el riesgo de compromiso.
- Rotación periódica de secretos: rote los secretos con frecuencia según la política de seguridad de su organización y la sensibilidad de la credencial. Intervalos de rotación más cortos (por ejemplo, 60-90 días) reducen el riesgo de exposición de secretos en peligro.
- Rotación automática: Use las funcionalidades de rotación de Azure Key Vault para automatizar el proceso de rotación.
- Uso de credenciales duales: para la rotación de tiempo de inactividad cero, implemente recursos con dos conjuntos de credenciales de autenticación.
Para obtener más información sobre la rotación de secretos, consulte:
- Automatiza la rotación de secretos para recursos con un único conjunto de credenciales de autenticación
- Automatización de la rotación de secretos para recursos con dos conjuntos de credenciales de autenticación
Almacenamiento en caché y rendimiento de secretos
Key Vault aplica límites de servicio para evitar el abuso. Para optimizar el acceso a secretos mientras se mantiene la seguridad:
- Cache secrets in memory: Almacene secretos en caché en su aplicación para reducir las llamadas a la API de Key Vault y evitar la limitación. Vuelva a usar los valores almacenados en caché siempre que sea posible y refrésquelos cuando los secretos se cambian. Para más información, consulte la guíade limitación de Azure Key Vault.
- Implementar la lógica de reintento: use la lógica de reintentos de retroceso exponencial para controlar errores transitorios y la limitación
- Actualizar al rotar: actualice los valores almacenados en caché cuando se rotan los secretos para asegurarse de que las aplicaciones usan las credenciales actuales.
Supervisión de secretos
Habilite la supervisión para realizar un seguimiento de los patrones de acceso secreto y detectar posibles problemas de seguridad:
- Activar el registro de Key Vault: Registrar todas las operaciones de acceso secreto para detectar intentos de acceso no autorizados. Consulte el registro de Azure Key Vault
- Configurar notificaciones de Event Grid: supervise los eventos del ciclo de vida de secretos (creados, actualizados, expirados, a punto de expirar) para flujos de trabajo automatizados. Consulte Azure Key Vault como origen de Event Grid
- Configurar alertas: Configurar alertas de Azure Monitor para patrones de acceso sospechosos o intentos de autenticación con errores. Consulte Supervisión y alertas para Azure Key Vault
- Revisar el acceso periódicamente: audite periódicamente quién tiene acceso a secretos y quite permisos innecesarios.
Artículos de seguridad relacionados
- Asegura tu Azure Key Vault: guía completa de seguridad de Azure Key Vault
- Asegure sus claves de Azure Key Vault - procedimientos recomendados de seguridad para claves criptográficas
- Asegurar los certificados de Azure Key Vault - Procedimientos recomendados de seguridad para certificados