Diseñar una solución para administrar secretos, claves y certificados.
En Azure, las claves de cifrado pueden estar administradas por la plataforma o administradas por el cliente.
Las claves administradas por la plataforma (PMK) son claves de cifrado que Azure genera, almacena y administra completamente. Los clientes no interactúan con PMK. Las claves usadas para Azure Data Encryption-at-Rest, por ejemplo, son PMK de forma predeterminada.
Por otro lado, las claves administradas por el cliente (CMK) son aquellas que uno o varios clientes pueden leer, crear, eliminar, actualizar y/o administrar. Las claves almacenadas en un almacén de claves propiedad del cliente o en un módulo de seguridad de hardware (HSM) son CMK. Bring Your Own Key (BYOK) es un escenario de CMK en el que un cliente importa (aporta) claves de una ubicación de almacenamiento externa a un servicio de administración de claves de Azure ( consulte Azure Key Vault: Bring Your Own Key).
Un tipo específico de clave administrada por el cliente es la "clave de cifrado de claves" (KEK). Una KEK es una clave principal que controla el acceso a una o varias claves de cifrado que están cifradas.
Las claves administradas por el cliente se pueden almacenar de forma local o, más comúnmente, en un servicio de administración de claves en la nube.
Servicio de administración de claves de Azure
Azure ofrece varias opciones para almacenar y administrar las claves en la nube, como Azure Key Vault, Azure Managed HSM, Dedicated HSM y Payment HSM. Estas opciones difieren en cuanto a su nivel de cumplimiento de FIPS, la sobrecarga de administración y las aplicaciones previstas.
Azure Key Vault (nivel estándar): un servicio de administración de claves en la nube multiinquilino validado por FIPS 140-2 de nivel 1 que también se puede usar para almacenar secretos y certificados. Las claves almacenadas Azure Key Vault están protegidas por software y se pueden usar para el cifrado en reposo y las aplicaciones personalizadas. Key Vault proporciona una API moderna y la gama más amplia de implementaciones e integraciones regionales con los servicios de Azure. Para obtener más información, consulte Acerca de Azure Key Vault.
Azure Key Vault (nivel prémium): una oferta de HSM multiinquilino validada por FIPS 140-2 de nivel 2 que se puede usar para almacenar claves en un límite de hardware seguro. Microsoft administra y opera el HSM subyacente, y las claves almacenadas en Azure Key Vault Premium se pueden usar para el cifrado en reposo y las aplicaciones personalizadas. Key Vault Premium también proporciona una API moderna y la gama más amplia de implementaciones e integraciones regionales con los servicios de Azure. Para obtener más información, consulte Acerca de Azure Key Vault.
Azure Managed HSM: una oferta de HSM de un solo inquilino validada por FIPS 140-2 nivel 3 que proporciona a los clientes el control total de un HSM para cifrado en reposo, SSL sin claves y aplicaciones personalizadas. Los clientes reciben un grupo de tres particiones de HSM, que actúan conjuntamente como un dispositivo HSM lógico y de alta disponibilidad, delante de un servicio que expone la funcionalidad de cifrado a través de la API de Key Vault. Microsoft controla el aprovisionamiento, la aplicación de revisiones, el mantenimiento y la conmutación por error de hardware de los HSM, pero no tiene acceso a las propias claves, porque el servicio se ejecuta dentro de la infraestructura de proceso confidencial de Azure. Managed HSM se integra con los servicios de Azure SQL, Azure Storage y los servicios de PaaS de Azure Information Protection y ofrece compatibilidad con TLS sin claves con F5 y Nginx. Para obtener más información, consulte ¿Qué es Azure Key Vault Managed HSM?
Azure Dedicated HSM: una oferta de HSM sin sistema operativo validada por FIPS 140-2 nivel 3 que permite a los clientes dar concesión a un dispositivo HSM de uso general que reside en centros de datos de Microsoft. El cliente tiene la propiedad completa y total sobre el dispositivo HSM y es responsable de aplicar revisiones y actualizar el firmware cuando sea necesario. Microsoft no tiene permisos en el dispositivo ni acceso al material clave, y Dedicated HSM no está integrado con ninguna oferta de PaaS de Azure. Los clientes pueden interactuar con el HSM mediante las API PKCS#11, JCE/JCA y KSP/CNG. Esta oferta es más útil para cargas de trabajo heredadas de lift-and-shift, PKI, descarga SSL y TLS sin clave (las integraciones admitidas incluyen F5, Nginx, Apache, Palo Alto, IBM GW, etc.), aplicaciones OpenSSL, TDE de Oracle e IaaS de TDE de Azure SQL. Para obtener más información, consulte ¿Qué es Azure Key Vault Managed HSM?
Azure Payments HSM: una oferta fips 140-2 nivel 3, PCI HSM v3 validada sin sistema operativo que permite a los clientes dar concesión a un dispositivo HSM de pago en centros de datos de Microsoft para operaciones de pago, incluido el procesamiento de pagos, la emisión de credenciales de pago, la protección de claves y datos de autenticación y la protección de datos confidenciales. El servicio es compatible con PCI DSS y PCI 3DS. Azure Payment HSM ofrece HSM de un solo inquilino para que los clientes tengan un control administrativo completo y acceso exclusivo al HSM. Una vez que el HSM se asigna a un cliente, Microsoft no tiene acceso a los datos del cliente. Asimismo, cuando el HSM deja de ser necesario, los datos del cliente se posicionan a cero y se borran en cuanto se libera el HSM para garantizar el mantenimiento de la privacidad y la seguridad. Para obtener más información, consulte Acerca de Azure Payment HSM.
Para obtener información general sobre los tipos de secretos, claves y certificados con los que puede trabajar en Key Vault, consulte Introducción a las claves, secretos y certificados de Azure Key Vault.
Procedimientos recomendados para el uso de Key Vault
Uso de instancias de Key Vault independientes
Nuestra recomendación es usar un almacén por aplicación, entorno (desarrollo, preproducción y producción) y región. Esto le ayuda a no compartir secretos entre entornos y regiones. También reducirá la amenaza en caso de una infracción.
Motivos para recomendar almacenes de claves independientes
Los almacenes de claves definen los límites de seguridad para los secretos almacenados. La agrupación de secretos en el mismo almacén aumenta el radio del impacto de un evento de seguridad, ya que los ataques podrían tener acceso a información confidencial. Para reducir esta posibilidad, tenga en cuenta a qué información confidencial debería tener acceso una aplicación específica y, después, separe los almacenes de claves en función de esta delineación. La separación de almacenes de claves por aplicación es el límite más común. Sin embargo, los límites de seguridad pueden ser más específicos para aplicaciones grandes, por ejemplo, por grupo de servicios relacionados.
Controlar el acceso al almacén
Las claves de cifrado y secretos como certificados, cadenas de conexión y contraseñas son confidenciales y críticos para la empresa. Debe proteger el acceso a los almacenes de claves permitiendo el acceso unicamente a aplicaciones y usuarios autorizados. Las características de seguridad de Azure Key Vault proporcionan información general sobre el modelo de acceso de Key Vault. Explica la autenticación y la autorización. También describe cómo proteger el acceso a los almacenes de claves.
Estas son algunas sugerencias para controlar el acceso al almacén:
- Bloquee el acceso a su suscripción, grupo de recursos y almacenes de claves (control de acceso basado en roles (RBAC)).
- Cree directivas de acceso para cada almacén.
- Use el principio de acceso con privilegios mínimos para conceder acceso.
- Active el firewall y los puntos de conexión de servicio de red virtual.
Activación de la protección de datos para el almacén
Active la protección frente a purgas para una protección frente eliminaciones malintencionadas o accidentales de secretos o del almacén de claves, incluso con la eliminación temporal activada.
Para más información, consulte Información general sobre la eliminación temporal de Azure Key Vault.
Active el registro.
Active el registro en el almacén. De igual modo, configure alertas.
Backup
La protección frente a purgas evita la eliminación malintencionada y accidental de objetos de almacén durante un máximo de 90 días. En escenarios en los que la protección frente a purgas no es una opción posible, se recomienda hacer copia de seguridad de los objetos del almacén, que no se pueden volver a crear desde otros orígenes, como las claves de cifrado generadas en el almacén.
Para más información sobre la copia de seguridad, consulte Copia de seguridad y restauración de Azure Key Vault.
Soluciones multiinquilino y Key Vault
Una solución multiinquilino se basa en una arquitectura en la que los componentes se usan para dar servicio a varios clientes o inquilinos. Las soluciones multiinquilino se suelen usar para soluciones de software como servicio (SaaS). Si va a crear una solución multiinquilino que incluya Key Vault, consulte Soluciones multiinquilino y Azure Key Vault.