Conceitos básicos do Azure Key Vault
O Azure Key Vault é serviço de nuvem para armazenar e acessar segredos de maneira segura. Um segredo é qualquer coisa a qual você queira controlar rigidamente o acesso, como chaves de API, senhas, certificados ou chaves criptográficas. O serviço do Key Vault oferece suporte a dois tipos de contêineres: cofres e pools HSM (módulo de segurança de hardware) gerenciados. Os cofres oferecem suporte ao armazenamento de chaves, segredos e certificados apoiados por software e HSM. Os pools HSM gerenciados oferecem suporte apenas a chaves apoiadas por HSM. Acesse a Visão geral da API REST do Azure Key Vault para saber todos os detalhes.
Outros termos importantes são:
Locatário: um locatário é a organização que possui e gerencia uma instância específica de serviços em nuvem da Microsoft. Geralmente, ele é usado para se referir ao conjunto de serviços do Azure e do Microsoft 365 para uma organização.
Proprietário do cofre: pode criar um cofre de chaves e obter acesso e controle totais sobre ele. O proprietário do cofre também pode configurar a auditoria para registrar quem acessa os segredos e as chaves. Os administradores podem controlar o ciclo de vida da chave. Eles podem reverter para uma nova versão da chave, fazer o backup e tarefas relacionadas.
Consumidor do cofre: pode executar ações nos ativos dentro do cofre de chaves quando seu proprietário concede acesso ao cliente. As ações disponíveis dependem das permissões concedidas.
Administradores de HSM gerenciado: os usuários atribuídos à função Administrador têm controle total sobre um pool HSM gerenciado. Podem criar outras atribuições de função para delegar o acesso controlado a outros usuários.
Usuário/responsável pela criptografia do HSM gerenciado: funções internas que são geralmente atribuídas a usuários ou entidades de serviço que realizarão operações criptográficas usando chaves no HSM gerenciado. O usuário de criptografia pode criar novas chaves, mas não excluir chaves.
Usuário de criptografia de serviço de Crypto do HSM gerenciado: função interna geralmente atribuída a uma identidade do serviço gerenciada de contas de serviço (por exemplo, conta de armazenamento) para a criptografia de dados inativos com a chave gerenciada pelo cliente.
Recurso: trata-se de um item gerenciável que está disponível por meio do Azure. Alguns exemplos comuns são máquina virtual, conta de armazenamento, aplicativo Web, banco de dados e rede virtual, mas há muito mais.
Grupo de recursos: trata-se de um contêiner que mantém os recursos relacionados de uma solução do Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que você deseja gerenciar como um grupo. Você decide como deseja alocar recursos para grupos de recursos com base no que faz mais sentido para sua organização.
Entidade de segurança: uma entidade de segurança do Azure é uma identidade de segurança usada por aplicativos criados pelo usuário, serviços e ferramentas de automação para acessar recursos específicos do Azure. Pense nela como uma “identidade do usuário” (nome de usuário e senha ou certificado) com uma função específica e permissões rigidamente controladas. Uma entidade de segurança realiza somente ações específicas, ao contrário de uma identidade de usuário geral. Ela melhora a segurança se você conceder apenas o nível mínimo de permissão necessário para executar as tarefas de gerenciamento. Uma entidade de segurança usada com um aplicativo ou serviço é chamada de entidade de serviço.
Microsoft Entra ID: o Microsoft Entra ID é o serviço do Active Directory para um locatário. Cada diretório tem um ou mais domínios. Um diretório pode ter várias assinaturas associadas a ele, mas apenas um locatário.
ID do locatário do Azure: uma ID de locatário é uma maneira exclusiva para identificar uma instância do Microsoft Entra dentro de uma assinatura do Azure.
Identidades gerenciadas: o Azure Key Vault oferece uma maneira de armazenar com segurança as credenciais e outras chaves e segredos, mas seu código precisa ser autenticado para o Key Vault recuperá-los. O uso de uma identidade gerenciada simplifica a solução desse problema porque fornece aos serviços do Azure uma identidade gerenciada automaticamente no Microsoft Entra ID. Use essa identidade para autenticar o Key Vault ou qualquer serviço que dê suporte à autenticação do Microsoft Entra, sem a necessidade de ter credenciais no código. Para mais informações, veja a imagem abaixo e a visão geral de identidades gerenciadas para recursos do Azure.
Autenticação
Para realizar operações com o Key Vault, primeiro você precisará autenticar-se a ele. Existem três maneiras de autenticar-se ao Key Vault:
- Identidades gerenciadas para recursos do Azure: ao implantar um aplicativo em uma máquina virtual no Azure, você pode atribuir uma identidade a sua máquina virtual que tem acesso ao Key Vault. Atribua também identidades a outros recursos do Azure. O benefício dessa abordagem é que o aplicativo ou serviço não gerencia o giro do primeiro segredo. Azure gira automaticamente a identidade. Recomendamos essa abordagem como melhor prática.
- Entidade de serviço e certificado: você pode usar uma entidade de serviço e um certificado associado que tem acesso ao Key Vault. Não recomendamos essa abordagem, porque o proprietário ou desenvolvedor do aplicativo deve girar o certificado.
- Entidade de serviço e segredo: embora seja possível, nós não recomendamos usar uma entidade de serviço e um segredo para autenticar-se ao Key Vault. É difícil girar automaticamente o segredo de inicialização usado para se autenticar ao Key Vault.
Criptografia de dados em trânsito
O Azure Key Vault impõe o protocolo TLS (Transport Layer Security) para proteger os dados quando eles estão viajando entre o Azure Key Vault e os clientes. Os clientes negociam uma conexão TLS com o Azure Key Vault. O TLS fornece autenticação forte, privacidade de mensagem e integridade (habilitando a detecção de adulteração, interceptação e falsificação de mensagens), interoperabilidade, flexibilidade de algoritmo e facilidade de implantação e uso.
O PFS protege as conexões entre os sistemas cliente dos clientes e os serviços em nuvem da Microsoft por chaves exclusivas. As conexões também usam comprimentos de chave de criptografia de 2.048 bits baseados em RSA. Essa combinação dificulta a interceptação e o acesso a dados que estão em trânsito.
Funções do Key Vault
Use a tabela a seguir para entender melhor como o Cofre da Chave pode ajudar a atender às necessidades de desenvolvedores e administradores de segurança.
| Função | Problema declarado | Solucionado pelo Cofre da Chave do Azure |
|---|---|---|
| Desenvolvedor de um aplicativo do Azure | "Quero gravar um aplicativo para o Azure que usa chaves para assinatura e criptografia. Mas quero que essas chaves fiquem externas ao meu aplicativo, para que a solução seja adequada a um aplicativo geograficamente distribuído. Quero que essas chaves e segredos sejam protegidos, sem precisar escrever o código sozinho. Também quero que essas chaves e segredos sejam fáceis de usar em meus aplicativos, com desempenho ideal.” |
√ As chaves são armazenadas em um cofre e invocadas pelo URI quando necessário. √ As chaves são protegidas pelo Azure, usando módulos de segurança de hardware, comprimentos da chave e algoritmos padrão da indústria. √ As chaves são processadas em HSMs que residem nos mesmos datacenters do Azure que os aplicativos. Esse método permite uma maior confiabilidade e uma latência reduzida em comparação às chaves que residem em um local separado, como no local. |
| Desenvolvedor de SaaS (software como serviço) | "Eu não quero a responsabilidade ou receber a culpa por problemas com as chaves e segredos de locatário dos meus clientes. Quero que os clientes sejam proprietários e gerenciem suas chaves para que eu possa me concentrar em fazer o que faço melhor, ou seja, fornecer os recursos centrais do software." |
√ Os clientes podem importar suas próprias chaves para o Azure e gerenciá-las. Quando um aplicativo SaaS precisa realizar operações criptográficas usando as chaves dos clientes, o Key Vault faz essas operações em nome dele. O aplicativo não vê as chaves dos clientes. |
| Diretor-chefe de segurança (CSO) | "Quero saber se nossos aplicativos estão em conformidade com HSMs FIPS 140 Nível 3 para gerenciamento seguro de chaves. Quero garantir que minha organização controle o ciclo de vida da chave e possa monitorar seu uso. E embora usemos vários recursos e serviços do Azure, quero gerenciar as chaves de um único local no Azure." |
√ Escolha vaults ou HSMs gerenciados para HSMs validados por FIPS 140. √ Escolha os pools HSM gerenciados para HSMs validados para FIPS 140-2 Nível 3. √ O Cofre de Chaves foi projetado para que a Microsoft não veja nem extraia suas chaves. √ Uso de chave é registrado praticamente em tempo real. √ O cofre fornece uma única interface, independentemente de quantos cofres você tenha no Azure, quais sejam as regiões com suporte e quais aplicativos as usem. |
Qualquer pessoa com uma assinatura do Azure pode criar e usar cofres de chaves. Embora o Key Vault beneficie desenvolvedores e administradores da segurança, ele pode ser implementado e gerenciado pelo administrador de uma organização que gerencie outros serviços do Azure. Por exemplo, esse administrador pode entrar com uma assinatura do Azure, criar um cofre para a organização armazenar as chaves e ser responsável por tarefas operacionais, como:
- Criar ou importar uma chave ou segredo
- Revogar ou excluir uma chave ou segredo
- Autorizar usuários ou aplicativos a acessar o cofre da chave para que eles possam gerenciar ou usar suas chaves e segredos
- Configurar o uso de chaves (por exemplo, assinar ou criptografar)
- Monitorar o uso de chaves
Em seguida, esse administrador oferece URIs aos desenvolvedores para realizar chamadas de seus aplicativos. Esse administrador também fornece informações de registro em log de uso da chave para o administrador da segurança.
Os desenvolvedores também podem gerenciar as chaves diretamente, por meio de APIs. Para saber mais, confira o guia do desenvolvedor do Cofre da Chave.
Próximas etapas
- Saiba mais sobre os Recursos de segurança do Azure Key Vault.
- Saiba como proteger seus pools HSM gerenciados
O Cofre da Chave do Azure está disponível na maioria das regiões. Para obter mais informações, consulte a Página de preços do Cofre da Chave.