Procedimientos recomendados para usar Azure Key Vault
Azure Key Vault protege claves de cifrado y secretos como certificados, cadenas de conexión y contraseñas. Este artículo le ayuda a optimizar el uso de los almacenes de claves.
Uso de instancias de Key Vault independientes
Nuestra recomendación es usar un almacén por aplicación, entorno (desarrollo, preproducción y producción) y región. El aislamiento pormenorizado le ayuda a no compartir secretos entre aplicaciones, entornos y regiones, y también reduce la amenaza si hay una vulneración.
Motivos para recomendar almacenes de claves independientes
Los almacenes de claves definen los límites de seguridad para los secretos almacenados. La agrupación de secretos en el mismo almacén aumenta el radio del impacto de un evento de seguridad, ya que los ataques podrían tener acceso a información confidencial. Para reducir esta posibilidad, tenga en cuenta a qué información confidencial debería tener acceso una aplicación específica y, después, separe los almacenes de claves en función de esta delineación. La separación de almacenes de claves por aplicación es el límite más común. Sin embargo, los límites de seguridad pueden ser más específicos para aplicaciones grandes, por ejemplo, por grupo de servicios relacionados.
Control del acceso a tu almacén
Las claves de cifrado y secretos como certificados, cadenas de conexión y contraseñas son confidenciales y críticos para la empresa. Debe proteger el acceso a los almacenes de claves permitiendo el acceso unicamente a aplicaciones y usuarios autorizados. Las características de seguridad de Azure Key Vault proporcionan información general sobre el modelo de acceso de Key Vault. Explica la autenticación y la autorización. También describe cómo proteger el acceso a los almacenes de claves.
Estas son algunas recomendaciones para controlar el acceso al almacén:
- Bloquee el acceso a su suscripción, grupo de recursos y almacenes de claves utilizando el modelo de permisos de control de acceso basado en roles (RBAC) para el plano de datos.
- Asignación de roles RBAC en el ámbito de Key Vault para aplicaciones, servicios y cargas de trabajo que requieren acceso persistente a Key Vault
- Asignar roles RBAC aptos para Just-In-Time para operadores, administradores y otras cuentas de usuario que requieren acceso con privilegios a Key Vault mediante Privileged Identity Management (PIM)
- Requerir al menos un aprobador
- Aplicación de Multi-Factor Authentication
- Restricción del acceso a la red con Private Link, firewall y redes virtuales
Importante
El modelo de permisos de directivas de acceso heredadas tiene vulnerabilidades de seguridad conocidas y la falta de compatibilidad con Identity Management priviliged y no debe usarse para cargas de trabajo y datos críticos.
Activación de la protección de datos para tu almacén
Active la protección frente a purgas para una protección frente eliminaciones malintencionadas o accidentales de secretos o del almacén de claves, incluso con la eliminación temporal activada.
Para más información, consulte el artículo Información general sobre la eliminación temporal de Azure Key Vault.
Active el registro.
Active el registro en el almacén. De igual modo, configure alertas.
Backup
La protección frente a purgas evita la eliminación malintencionada y accidental de objetos de almacén durante un máximo de 90 días. En escenarios en los que la protección frente a purgas no es una opción posible, se recomienda hacer una copia de seguridad de los objetos del almacén que no se pueden volver a crear desde otros orígenes, como las claves de cifrado generadas en el almacén.
Para más información sobre la copia de seguridad, consulte Copia de seguridad y restauración de Azure Key Vault.
Soluciones multiinquilino y Key Vault
Una solución multiinquilino se basa en una arquitectura en la que los componentes se usan para dar servicio a varios clientes o inquilinos. Las soluciones multiinquilino se suelen usar para soluciones de software como servicio (SaaS). Si va a crear una solución multiinquilino que incluya Key Vault, se recomienda usar una instancia de Key Vault por cliente para proporcionar aislamiento para los datos y cargas de trabajo de los clientes, consulte Multiinquilino y Azure Key Vault.
Preguntas más frecuentes:
¿Puedo usar asignaciones del ámbito de objetos del modelo de permisos del control de acceso basado en rol (RBAC) de Key Vault para proporcionar aislamiento a los equipos de aplicaciones dentro de Key Vault?
No. El modelo de permisos RBAC permite asignar acceso a objetos individuales en Key Vault a usuarios o aplicaciones, pero solo para lectura. Las operaciones administrativas, como el control de acceso a la red, la supervisión y la administración de objetos, requieren permisos de nivel de almacén. Tener una instancia de Key Vault por aplicación proporciona aislamiento seguro para los operadores en todos los equipos de la aplicación.
Pasos siguientes
Obtenga más información sobre los procedimientos recomendados de administración de claves: