Protección de las claves de Azure Key Vault

Las claves de Azure Key Vault protegen las claves criptográficas que se usan para las operaciones de cifrado, firmas digitales y ajuste de claves. En este artículo se proporcionan recomendaciones de seguridad específicas de la administración de claves criptográficas.

Nota:

Este artículo se centra en los procedimientos de seguridad específicos de las claves de Key Vault. Para obtener una guía completa de seguridad de Key Vault, incluida la seguridad de la red, la administración de identidades y acceso, y la arquitectura de la bóveda, consulte Protección de Azure Key Vault.

Tipos clave y niveles de protección

Azure Key Vault admite diferentes tipos de claves con distintos niveles de protección. Elija el tipo de clave adecuado en función de los requisitos de seguridad:

• Claves protegidas por software (RSA, EC): claves protegidas por software validado por FIPS 140-2 nivel 1. Adecuado para la mayoría de las aplicaciones que requieren operaciones de cifrado y firma.

• Claves protegidas por HSM (RSA-HSM, EC-HSM): claves protegidas por módulos de seguridad de hardware validados (HSM) de FIPS 140-2 nivel 2. Se recomienda para escenarios de alta seguridad que requieren protección de claves respaldadas por hardware.

• Claves de HSM administrado: claves en grupos de HSM dedicados de un solo inquilino con hardware validado FIPS 140-2 nivel 3. Requerido para los requisitos de seguridad y cumplimiento más altos.

Para más información sobre los tipos de clave, consulte Acerca de las claves de Azure Key Vault.

Uso y operaciones clave

Restrinja las operaciones clave solo a las necesarias para que la aplicación minimice la superficie expuesta a ataques:

• Limitar las operaciones de clave: conceda solo los permisos necesarios (cifrar, descifrar, firmar, comprobar, wrapKey, unwrapKey)
• Use los tamaños de clave adecuados:
  • Claves RSA: utilizar un mínimo de 2048 bits, 4096 bits para escenarios de alta seguridad.
  • Claves EC: Usar curvas P-256, P-384 o P-521 en función de los requisitos de seguridad
• Claves independientes por propósito: use claves diferentes para las operaciones de cifrado y firma para limitar el impacto si una clave está en peligro.

Para obtener más información sobre las operaciones de clave, consulte Operaciones de clave en Key Vault.

Rotación de claves y control de versiones

Implemente la rotación regular de claves para limitar la exposición de las claves comprometidas.

• Habilitar la rotación automática de claves: configure directivas de rotación automática para rotar claves sin tiempo de inactividad de la aplicación. Consulte Configuración de la autorotación de claves.
• Establecer la frecuencia de rotación: gire las claves de cifrado al menos anualmente o con más frecuencia en función de los requisitos de cumplimiento.
• Uso de la versionado de claves: Key Vault versiona automáticamente las claves, permitiendo la rotación de claves sin problemas y sin interrumpir los datos cifrados existentes.
• Plan para volver a cifrar: para los datos a largo plazo, implemente estrategias para volver a cifrar los datos con nuevas versiones de clave.

Para más información sobre la rotación, consulte Configuración de la autorrotación de claves criptográficas en Azure Key Vault.

Copia de seguridad y recuperación de claves

Proteja contra la pérdida de datos mediante la implementación de procedimientos adecuados de copia de seguridad y recuperación:

• Habilitar la eliminación temporal: la eliminación temporal permite la recuperación de claves eliminadas dentro de un período de retención (de 7 a 90 días). Consulte Información general sobre la eliminación temporal de Azure Key Vault
• Habilitar la protección de purga: evite la eliminación permanente de claves durante el período de retención. Consulte Protección de purgas
• Copia de seguridad de claves críticas: exporte y almacene de forma segura copias de seguridad de claves que protegen los datos irreplacebles. Consulte Copia de seguridad de Azure Key Vault.
• Procedimientos de recuperación de documentos: mantenimiento de runbooks para escenarios de recuperación clave

Traiga su propia clave (BYOK)

Al importar sus propias claves en Key Vault, siga los procedimientos recomendados de seguridad:

• Uso de la generación de claves seguras: generación de claves en HSM de nivel 2 o superior de FIPS 140-2
• Protección de claves durante la transferencia: use el proceso BYOK de Key Vault para transferir claves de forma segura. Consulte Importación de claves protegidas por HSM en Key Vault (BYOK)
• Validación de la importación de claves: comprobación de los atributos y permisos de clave después de la importación
• Mantener la procedencia de las claves: documente el origen y el método de transferencia de claves importadas.

Para más información sobre BYOK, consulte Importación de claves protegidas con HSM para Key Vault.

Liberación y atestación de claves

En escenarios que requieren la liberación de claves a entornos de confianza:

• Uso de políticas de liberación de claves: configurar políticas de liberación basadas en atestaciones para controlar cuándo se pueden liberar claves desde Key Vault
• Comprobación de la atestación: asegúrese de que los entornos de solicitud proporcionan una atestación válida antes de liberar claves.
• Auditar liberaciones de claves: Supervisar y registrar todas las operaciones de liberación de claves

Para obtener más información sobre la liberación de claves, consulte Liberación de claves de Azure Key Vault.

Supervisión y auditoría

Realice un seguimiento del uso de claves para detectar patrones de acceso no autorizados o sospechosos:

• Habilitar el registro de diagnóstico: registre todas las operaciones clave para el análisis de seguridad. Consulte Registro de Azure Key Vault
• Supervisión de las operaciones de clave: realizar un seguimiento de las operaciones de cifrado, descifrado, firma y comprobación para establecer patrones de uso de línea base
• Configuración de alertas: Configuración de alertas de Azure Monitor para:
  • Patrones de acceso de claves inusuales
  • Operaciones de clave fallidas
  • Eliminaciones o modificaciones de claves
  • Clave próxima a expirar

Consulte Supervisión y alertas de Azure Key Vault.

Expiración de la clave

Establezca fechas de expiración para las claves cuando corresponda:

• Establecer la expiración de las claves temporales: las claves que se usan con fines limitados de tiempo deben tener fechas de expiración.
• Supervisar las claves de expiración: use las notificaciones de Event Grid para alertar antes de que expiren las claves. Consulte Azure Key Vault como origen de Event Grid.
• Automatización de la renovación de claves: implementación de procesos automatizados para rotar las claves antes de la expiración

Artículos de seguridad relacionados

• Protección de Azure Key Vault : guía de seguridad completa de Key Vault
• Protección de los secretos de Azure Key Vault : procedimientos recomendados de seguridad para secretos
• Protección de los certificados de Azure Key Vault : procedimientos recomendados de seguridad para certificados

Pasos siguientes

• Acerca de las claves de Azure Key Vault
• Configuración de la autorización de claves criptográficas en Azure Key Vault
• Guía del desarrollador de Azure Key Vault