Secretos de Key Vault
Los secretos no son secretos si se comparten con todos. Almacenar elementos confidenciales como cadenas de conexión, tokens de seguridad, certificados y contraseñas en el código es simplemente invitar a alguien a tomarlos y usarlos para algo distinto de lo que se pretendía. Incluso almacenar a este tipo de datos en la configuración de la web es una mala idea, ya que permite que cualquier persona con acceso al código fuente o al servidor web tenga acceso a sus datos privados.
En su lugar, siempre se deben colocar estos secretos en Azure Key Vault.
¿Qué es Azure Key Vault?
Azure Key Vault es un almacén de secretos: un servicio centralizado en la nube para almacenar secretos de aplicación. Key Vault ayuda a mantener seguros los datos confidenciales al mantener los secretos de aplicación en una sola ubicación central y proporcionar acceso seguro, control de permisos y registro de acceso.
Los secretos se almacenan en almacenes individuales, cada uno con sus propias directivas de seguridad y configuración para controlar el acceso. Puede obtener los datos mediante una API REST o un SDK de cliente, disponible para la mayoría de los lenguajes.
Importante
Key Vault está diseñado para almacenar secretos de configuración de las aplicaciones de servidor. No tiene por objeto almacenar datos que pertenezcan a los usuarios de la aplicación ni debe utilizarse en la parte del lado cliente de una aplicación. Esto se refleja en sus características de rendimiento, la API y el modelo de costos.
Los datos de usuario deben almacenarse en otro lugar, como una instancia de Azure SQL Database con Cifrado de datos transparente, o una cuenta de almacenamiento con Storage Service Encryption. Puede mantener los secretos que la aplicación usa para acceder a esos almacenes de datos en Key Vault.
¿Por qué usar un almacén de claves para los secretos?
La administración de claves y el almacenamiento de secretos puede ser algo complicado y propenso a errores cuando se realiza manualmente. La rotación manual de certificados significa potencialmente prescindir de ellos durante algunas horas o días. Como se ha mencionado antes, guardar las cadenas de conexión en el archivo de configuración o en el repositorio de código significa que alguien podría robar las credenciales.
Key Vault permite a los usuarios almacenar cadenas de conexión, secretos, contraseñas, certificados, directivas de acceso, bloqueos de archivo (para hacer los elementos de Azure de solo lectura) y scripts de automatización. También registra el acceso y la actividad y le permite supervisar el control de acceso (IAM) en su suscripción. También dispone de diagnósticos, métricas, alertas y herramientas de solución de problemas para garantizarle el acceso que necesita.
Obtenga más información sobre el uso de Azure Key Vault en Administración de secretos en las aplicaciones de servidor con Azure Key Vault.
Resumen
El robo de credenciales, la rotación manual de claves y la renovación de certificados pueden ser cosa del pasado si administra bien los secretos con Azure Key Vault.