Share via

Usar chaves gerenciadas pelo cliente para criptografar seus dados de configuração

  • Artigo

A Configuração de Aplicativos do Azure criptografa informações confidenciais em repouso. O uso de chaves gerenciadas pelo cliente oferece proteção de dados aprimorada permitindo que você gerencie suas chaves de criptografia. Quando a criptografia de chave gerenciada é usada, todas as informações confidenciais na configuração do aplicativo são criptografadas com uma chave de Azure Key Vault fornecida pelo usuário. Isso fornece a capacidade de girar a chave de criptografia sob demanda. Ele também fornece a capacidade de revogar o acesso de Azure App configuração a informações confidenciais revogando o acesso da instância de configuração de aplicativo à chave.

Visão geral

A Configuração de Aplicativos do Azure criptografa informações confidenciais em repouso usando uma chave de criptografia AES de 256 bits fornecida pela Microsoft. Cada instância de configuração de aplicativo tem sua própria chave de criptografia gerenciada pelo serviço e usada para criptografar informações confidenciais. Informações confidenciais incluem os valores encontrados em pares chave-valor. Quando o recurso de chave gerenciada pelo cliente está habilitado, a Configuração de Aplicativos usa uma identidade gerenciada atribuída à instância de Configuração de Aplicativos para autenticar junto ao Microsoft Entra ID. Em seguida, a identidade gerenciada chama Azure Key Vault e encapsula a chave de criptografia da instância de configuração do aplicativo. Depois, a chave de criptografia encapsulada é armazenada e a chave de criptografia desencapsulada é armazenada em cache na Configuração de Aplicativos por uma hora. A cada hora, a Configuração de Aplicativos atualiza a versão desencapsulada da chave de criptografia da instância de Configuração de Aplicativos. Esse processo garante a disponibilidade em condições normais de operação.

Importante

Se a identidade atribuída à instância de configuração do aplicativo não estiver mais autorizada a desencapsular a chave de criptografia da instância ou se a chave gerenciada for excluída permanentemente, não será mais possível descriptografar informações confidenciais armazenadas na instância de configuração do aplicativo. Usando a função de exclusão reversível do Azure Key Vault, você reduz a chance de excluir acidentalmente a chave de criptografia.

Quando os usuários habilitam a capacidade de chave gerenciada pelo cliente na instância de Configuração de Aplicativos do Azure deles, eles controlam a capacidade do serviço de acessar as informações confidenciais deles. A chave gerenciada serve como uma chave de criptografia raiz. Os usuários podem revogar o acesso da instância da Configuração de Aplicativos à chave gerenciada alterando a política de acesso do cofre de chaves. Quando esse acesso for revogado, a configuração do aplicativo perderá a capacidade de descriptografar os dados do usuário em uma hora. Neste ponto, a instância de configuração do aplicativo proibirá todas as tentativas de acesso. Essa situação é recuperável, concedendo ao serviço acesso à chave gerenciada novamente. Dentro de uma hora, a configuração do aplicativo poderá descriptografar os dados do usuário e operar em condições normais.

Observação

Todos os dados de Configuração de Aplicativos do Azure são armazenados por até 24 horas em um backup isolado. Isso inclui a chave de criptografia não encapsulada. Esses dados não ficam disponíveis imediatamente para a equipe de serviço ou o serviço. No caso de uma restauração de emergência, a Configuração de Aplicativos do Azure será revogada novamente dos dados de chave gerenciados.

Requisitos

Os seguintes componentes são necessários para habilitar com êxito a capacidade de chave gerenciada pelo cliente para a Configuração de Aplicativos do Azure:

  • Instância da Configuração de Aplicativos do Azure da camada Standard.
  • Azure Key Vault com recursos de exclusão reversível e de proteção contra limpeza habilitados.
  • Uma chave RSA ou RSA-HSM dentro do Key Vault.
    • A chave não pode estar expirada, ela precisa ser habilitada e ter as funcionalidades de encapsulamento e desencapsulamento habilitadas.

Depois que esses recursos forem configurados, use as seguintes etapas para que a Configuração de Aplicativos do Azure possa usar a chave do Key Vault:

  1. Atribua uma identidade gerenciada à instância de Configuração de Aplicativos do Azure.
  2. Conceda a identidade GET , WRAP e UNWRAP permissões na política de acesso do Key Vault de destino.

Habilitar a criptografia de chave gerenciada pelo cliente para seu repositório de Configuração de Aplicativos

  1. Crie um repositório de Configuração de Aplicativos na camada Standard se você não tiver um.

  2. Usando a CLI do Azure, crie um Azure Key Vault com a proteção de limpeza habilitada. A exclusão suave está habilitada por padrão. Observe que vault-name e resource-group-name são fornecidos pelo usuário e precisam ser exclusivos. Usamos contoso-vault e contoso-resource-group nesses exemplos.

    az keyvault create --name contoso-vault --resource-group contoso-resource-group --enable-purge-protection

  3. Crie uma chave de Key Vault. Forneça um key-name exclusivo para essa chave e substitua os nomes do Key Vault (contoso-vault) criado na etapa 2. Especifique se você prefere criptografia RSA ou RSA-HSM (RSA-HSM só está disponível na camada Premium).

    az keyvault key create --name key-name --kty {RSA or RSA-HSM} --vault-name contoso-vault

    A saída desse comando mostra a ID da chave (kid) para a chave gerada. Anote o resultado para uso posterior neste exercício. A ID da chave tem o formulário: https://{my key vault}.vault.azure.net/keys/{key-name}/{key-version} . A ID da chave tem três componentes importantes:

    1. URI do Key Vault: https://{my key vault}.vault.azure.net
    2. Nome da chave do Key Vault: {key-name}
    3. Versão da chave do Key Vault: {key-version}

  4. Crie uma identidade gerenciada atribuída pelo sistema usando a CLI do Azure, substituindo o nome da instância da Configuração de Aplicativos e do grupo de recursos usados nas etapas anteriores. A identidade gerenciada será usada para acessar a chave gerenciada. Usamos contoso-app-config para ilustrar o nome de uma instância de configuração de aplicativo:

    az appconfig identity assign --name contoso-app-config --resource-group contoso-resource-group --identities [system]

    A saída desse comando inclui a ID da entidade de segurança ("principalId") e a ID do locatário ("tenandId") da identidade atribuída pelo sistema. Essas IDs serão usadas para conceder o acesso de identidade à chave gerenciada.

    {
    "principalId": {Principal Id},
    "tenantId": {Tenant Id},
    "type": "SystemAssigned",
    "userAssignedIdentities": null
}

  5. A identidade gerenciada da instância de configuração do Azure App precisa acessar a chave para executar a validação, criptografia e descriptografia da chave. O conjunto específico de ações às quais ele precisa de acesso inclui: GET , WRAP e UNWRAP para chaves. A permissão do acesso exige a ID da entidade de segurança da identidade gerenciada da instância da Configuração de Aplicativos. Substitua o valor mostrado abaixo como contoso-principalId pela ID da entidade de segurança obtida na etapa anterior. Conceda permissão para a chave gerenciada usando a linha de comando:

    az keyvault set-policy -n contoso-vault --object-id contoso-principalId --key-permissions get wrapKey unwrapKey

  6. Agora que a instância da Configuração de Aplicativos do Azure puder acessar a chave gerenciada, poderemos habilitar a funcionalidade de chave gerenciada pelo cliente no serviço usando a CLI do Azure. Relembre as seguintes propriedades registradas durante as etapas de criação da chave: key namekey vault URI.

    az appconfig update -g contoso-resource-group -n contoso-app-config --encryption-key-name key-name --encryption-key-version key-version --encryption-key-vault key-vault-Uri

Sua instância de Configuração de Aplicativos do Azure agora está configurada para usar uma chave gerenciada pelo cliente armazenada no Azure Key Vault.

Próximas etapas

Neste artigo, você configurou sua instância de configuração de Azure App para usar uma chave gerenciada pelo cliente para criptografia. Para saber mais sobre como integrar o serviço de aplicativo com identidades gerenciadas do Azure, continue para a próxima etapa.

Integrar o serviço com identidades gerenciadas do Azure