Explorar Azure Key Vault
El servicio Azure Key Vault admite dos tipos de contenedores: almacenes y grupos de módulos de seguridad de hardware administrados (HSM). Los almacenes permiten almacenar software y claves, secretos y certificados respaldados por HSM. Los grupos HSM administrados solo admiten claves respaldadas por HSM.
Azure Key Vault ayuda a solucionar los problemas siguientes:
Administración de secretos: Azure Key Vault se puede utilizar para almacenar de forma segura y controlar de manera estricta el acceso a los tokens, contraseñas, certificados, claves de API y otros secretos.
Administración de claves: también se puede usar Azure Key Vault como solución de administración de claves. Azure Key Vault facilita la creación y control de las claves de cifrado utilizadas para cifrar los datos.
Administración de certificados: Azure Key Vault también es un servicio que permite aprovisionar, administrar e implementar fácilmente certificados de la Capa de sockets seguros y la Seguridad de la capa de transporte (SSL y TLS) públicos y privados para su uso con Azure y los recursos internos conectados.
Azure Key Vault tiene dos niveles de servicio: Estándar, que realiza el cifrado con una clave de software, y Prémium, que incluye claves protegidas mediante un módulo de seguridad de hardware (HSM). Para ver una comparación entre los niveles Estándar y Premium, consulte la página de precios de Azure Key Vault.
Principales ventajas de usar Azure Key Vault
Secretos de aplicación centralizados: la centralización del almacenamiento de secretos de Azure Key Vault permite controlar su distribución. Por ejemplo, en lugar de almacenar la cadena de conexión en el código de la aplicación, puede almacenarla de forma segura en Key Vault. Las aplicaciones pueden acceder de manera protegida a la información que necesitan a través de URI. Estos URI permiten que las aplicaciones recuperen versiones específicas de un secreto.
Almacenamiento seguro de secretos y claves: el acceso a un almacén de claves requiere la autenticación y autorización adecuadas para que un autor de llamada (usuario o aplicación) pueda acceder. La autenticación se realiza a través de Microsoft Entra ID. La autorización puede realizarse mediante el control de acceso basado en rol de Azure (RBAC de Azure) o la directiva de acceso de Key Vault. Azure RBAC se puede utilizar tanto para la administración de los almacenes como para acceder a los datos almacenados en un almacén, mientras que la directiva de acceso del almacén de claves solo se puede usar cuando se intenta acceder a los datos almacenados en un almacén. Los almacenes de claves de Azure pueden estar protegidos por software o, con el nivel Premium de Azure Key Vault, por hardware (módulos de seguridad de hardware [HSM]).
Supervisión del acceso y uso: puede supervisar la actividad habilitando el registro para los almacenes. Tiene el control sobre los registros y puede protegerlos de forma segura restringiendo el acceso y, además, puede eliminar los registros que ya no necesita. Azure Key Vault se puede configurar para lo siguiente:
- Archivar en una cuenta de almacenamiento.
- Transmitir a un centro de eventos.
- Envíe los registros a los registros de Azure Monitor.
Administración simplificada de secretos de aplicación: la información de seguridad debe protegerse, debe seguir un ciclo de vida y debe tener una disponibilidad alta. Azure Key Vault simplifica el proceso de cumplimiento de estos requisitos mediante:
- La eliminación de la necesidad de poseer conocimientos internos sobre los módulos de seguridad de hardware (HSM).
- El escalado vertical en un breve plazo de tiempo para adaptarse a los picos de uso de la organización.
- La replicación del contenido de una instancia de Key Vault de una región en una región secundaria. La replicación de datos garantiza la alta disponibilidad y elimina la necesidad de intervención del administrador para desencadenar la conmutación por error.
- La disposición de opciones estándar de administración de Azure a través del portal, la CLI de Azure y PowerShell.
- La automatización de determinadas tareas de los certificados que adquiere de entidades de certificación públicas, como la inscripción y la renovación.