Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Los recursos criptográficos, como certificados, claves y secretos, tienen una duración limitada. Como procedimiento recomendado de seguridad, estos recursos deben rotarse periódicamente para reducir el riesgo de poner en peligro y garantizar el cumplimiento de las directivas de seguridad. Azure Key Vault proporciona funcionalidades de automatización para rotar estos recursos, lo que ayuda a las organizaciones a mantener una posición de seguridad sólida con una sobrecarga operativa mínima.
¿Qué es la autorrotación?
La autorasignación es el proceso de reemplazar automáticamente los recursos criptográficos por otros nuevos a intervalos predefinidos o en respuesta a eventos específicos. En Azure Key Vault, las funcionalidades de asignación automática varían en función del tipo de recurso:
- Claves: generación automática de nuevas versiones de clave basadas en directivas de rotación configuradas
- Secretos: actualizaciones desencadenadas por eventos de secretos con integración en los sistemas que los usan
- Certificados: renovación automática de certificados antes de que expiren
Ventajas de la autorrotación
La implementación de la autorrotación para los activos criptográficos proporciona varias ventajas.
- Seguridad mejorada: la rotación regular del material criptográfico reduce el riesgo de compromiso
- Cumplimiento simplificado: cumplir los requisitos normativos y organizativos para la administración del ciclo de vida de los recursos criptográficos
- Eficiencia operativa: reducir el esfuerzo manual y el riesgo de error humano en los procesos de rotación
- Tiempo de inactividad reducido: la rotación proactiva antes de la expiración evita interrupciones del servicio.
- Administración escalable: automatización de la rotación entre varios recursos y servicios
Autorotación para diferentes tipos de activos
Autorrotación de claves
Las claves de Azure Key Vault se pueden configurar con directivas de rotación que generan automáticamente nuevas versiones de clave en frecuencias especificadas. Esto es útil para las claves que se usan como claves administradas por el cliente (CMK) en los servicios de Azure.
La autorrotación automática de claves admite:
- Intervalos de rotación configurables (mínimo de siete días)
- Notificaciones próximas a expirar a través de Event Grid
- Rotación a petición además de la rotación programada
- Integración con servicios de Azure mediante CMK
Aprenda a configurar la habilitación automática de claves en Azure Key Vault
Autorrotación de secretos
Los secretos en Azure Key Vault se pueden configurar para la autorrotación mediante Azure Functions desencadenado por eventos de Event Grid. Esto es útil para las credenciales de base de datos, las claves de API y otra información confidencial que requiere actualizaciones periódicas.
La autorrotación automática de secretos admite:
- Desencadenador basado en eventos a través de Event Grid
- Integración con Azure Functions para la lógica de rotación personalizada
- Notificaciones de próxima expiración para avisos de rotación manual
- Actualización de servicios dependientes con nuevos valores secretos
Azure Key Vault admite dos escenarios de rotación de secretos:
- Aprenda a implementar la autorrotación automática de secretos para los recursos con un conjunto de credenciales de autenticación
- Aprenda a implementar la autorrotación automática de secretos para los recursos con dos conjunto de credenciales de autenticación
Rotación automática de certificados
Los certificados almacenados en Azure Key Vault se pueden renovar automáticamente antes de que expiren. Key Vault controla la renovación de certificados con entidades de certificación (CA) integradas o mediante la regeneración de certificados autofirmados.
La autorrotación de certificados admite:
- Configuración de períodos de validez
- Renovación automática en un porcentaje especificado de duración o días antes de la expiración
- Notificaciones por correo electrónico para la expiración del certificado
- Integración con entidades de certificación como DigiCert y GlobalSign
Aprenda a configurar la habilitación automática de certificados en Azure Key Vault
Procedimientos recomendados de autorrotación
Al implementar la autorrotación en Azure Key Vault, tenga presentes estas prácticas recomendadas:
- Utilice el versionado: los sistemas deben hacer referencia automáticamente a la versión más reciente de una clave, un certificado o un secreto.
- Implementación de controles de acceso adecuados: uso de RBAC de Azure para controlar quién puede configurar directivas de rotación
- Supervisar eventos de rotación: Configurar notificaciones y alertas para rotaciones exitosas y fallidas
- Procedimientos de prueba de rotación: Verifique que los sistemas dependientes puedan gestionar correctamente los activos rotados.
- Configurar las frecuencias de rotación adecuadas: equilibrar los requisitos de seguridad con consideraciones operativas
- Documentar procedimientos de contingencia: Tener documentados los procesos de rotación manual para escenarios de emergencia
- Siga los procedimientos recomendados de seguridad: Implemente medidas de seguridad completas como se describe en Protección de Azure Key Vault
Escenarios comunes de autorrotación
Claves administradas por el cliente para los servicios de Azure
Muchos servicios de Azure admiten el cifrado con claves administradas por el cliente almacenadas en Key Vault. Cuando estas claves están configuradas para la autorrotación, los servicios usan automáticamente la versión de clave más reciente para las nuevas operaciones de cifrado, mientras mantienen el acceso a los datos cifrados con versiones anteriores.
Credenciales de base de datos
Las credenciales de base de datos almacenadas como secretos en Key Vault se pueden rotar automáticamente con aplicaciones de funciones que no solo actualizan el secreto en Key Vault, sino que también aplican las nuevas credenciales a la base de datos.
Claves de API y credenciales de servicio
La autorización de claves de API y credenciales de servicio ayuda a mantener la seguridad limitando la duración de estos recursos confidenciales. Al implementar la rotación con Azure Functions, puede actualizar Key Vault y los servicios de destino.
Pasos siguientes
- Configuración de la autorización de claves criptográficas en Azure Key Vault
- Configuración de la autorización de certificados en Key Vault
- Automatización de la rotación de un secreto para recursos con un conjunto de credenciales de autenticación
- Acerca de Azure Key Vault
- Administración de claves en Azure