Descripción de Azure Key Vault

  • 3 minutos

Azure Key Vault es un servicio en la nube para el almacenamiento de los secretos y el acceso a estos de forma segura. Un secreto es todo aquello cuyo acceso desea controlar de forma estricta, como las claves API, las contraseñas, los certificados o las claves criptográficas.

Azure Key Vault ayuda a solucionar los problemas siguientes:

  • Administración de secretos. Puede usar Key Vault para almacenar de forma segura y controlar de manera estricta el acceso a tokens, contraseñas, certificados, claves de interfaz de programación de aplicaciones (API) y otros secretos.
  • Administración de claves. Puede usar Key Vault como solución de administración de claves. Key Vault facilita la creación y el control de las claves de cifrado usadas para cifrar los datos.
  • Administración de certificados. Key Vault permite aprovisionar, administrar e implementar certificados públicos y privados de Capa de sockets seguros y de Seguridad de la capa de transporte (SSL/TLS) para su uso con los recursos de Azure y los recursos conectados internamente.

Azure Key Vault tiene dos niveles de servicio: Estándar, que cifra con una clave de software, y Premium, que incluye claves protegidas por módulos de seguridad de hardware (HSM).

¿Por qué usar Key Vault?

Centralización de secretos de aplicación. La centralización del almacenamiento de secretos de aplicación en Azure Key Vault permite controlar su distribución y reducir, en gran medida, las posibilidades de que se puedan filtrar de manera accidental. Cuando los desarrolladores de aplicaciones usan Key Vault, ya no necesitan almacenar información de seguridad como parte del código de su aplicación. En su lugar, la aplicación puede acceder de forma segura a la información que necesita mediante un identificador de objeto Key Vault que identifica de forma única el objeto dentro de Key Vault. Los identificadores de objeto de Key Vault son direcciones URL que permiten a la aplicación recuperar versiones específicas de un secreto. No es necesario escribir código personalizado para proteger la información de secretos almacenada en Key Vault.

A continuación, se muestran ejemplos del formato de dirección URL para un identificador de objeto de nivel estándar de Azure Key Vault y el HSM administrado de nivel Premium:

  • Para almacenes de nivel estándar: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Para HSM administrado: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Almacenamiento seguro de secretos y claves. El acceso a un almacén de claves requiere una autorización y autenticación correctas antes de que un autor de llamada (usuario o aplicación) pueda obtener acceso. La autenticación establece la identidad del autor de la llamada, mientras que la autorización determina las operaciones que puede realizar.

La autenticación se realiza a través de Microsoft Entra. La autorización puede realizarse mediante el control de acceso basado en rol de Azure (RBAC de Azure) o la directiva de acceso de Key Vault.

Azure Key Vault está diseñado para que Microsoft no vea ni extraiga los datos.

Supervisión del acceso y el uso. Una vez que haya creado un par de almacenes de claves, puede supervisar la actividad al habilitar el registro de los almacenes. Tiene el control sobre los registros y puede protegerlos de forma segura restringiendo el acceso y, además, puede eliminar los registros que ya no necesita.

Administración simplificada de secretos de aplicación. Azure Key Vault simplifica las tareas de administración usualmente necesarias para proteger los secretos de la aplicación, entre las que se incluyen:

  • La replicación del contenido de una instancia de Key Vault de una región en una región secundaria. La replicación de datos garantiza la alta disponibilidad y elimina la necesidad de intervención del administrador para desencadenar la conmutación por error.
  • La disposición de opciones estándar de administración de Azure a través del portal, la CLI de Azure y PowerShell.
  • Automatización de determinadas tareas de los certificados que adquiera de entidades de certificación (CA) públicas, como la inscripción y la renovación.

Diagram showing a representation of Azure Key Vault, an Azure developer receiving a key vault object identifier as a URI, and a security admin that obtains usage logging for keys.

Además, Azure Key Vault le permite segregar los secretos de aplicación. Las aplicaciones solo pueden acceder al almacén para el que tengan permiso, y se puede limitar el acceso para realizar únicamente operaciones específicas. Puede crear una instancia de Azure Key Vault por aplicación y restringir los secretos almacenados en un almacén de claves a una aplicación y a un equipo de desarrolladores concretos.