Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Ativos criptográficos, como certificados, chaves e segredos, têm tempo de vida limitado. Como prática recomendada de segurança, esses ativos devem ser girados regularmente para reduzir o risco de comprometimento e garantir a conformidade com as políticas de segurança. O Azure Key Vault fornece recursos de automação para girar esses ativos, ajudando as organizações a manter uma postura de segurança forte com sobrecarga operacional mínima.
O que é a autorotação?
A autorotação é o processo de substituir automaticamente ativos criptográficos por novos em intervalos predefinidos ou em resposta a eventos específicos. No Azure Key Vault, os recursos de autorotação variam dependendo do tipo de ativo:
- Chaves: geração automática de novas versões de chave com base em políticas de rotação configuradas
- Segredos: Atualizações de segredos acionadas por eventos com integração aos sistemas que os utilizam
- Certificados: renovação automática de certificados antes de expirarem
Benefícios da autorrotação
Implementar a autorotação para seus ativos criptográficos oferece vários benefícios:
- Segurança aprimorada: a rotação regular de material criptográfico reduz o risco de comprometimento
- Conformidade simplificada: atender aos requisitos regulatórios e organizacionais para o gerenciamento do ciclo de vida de ativos criptográficos
- Eficiência operacional: reduzir o esforço manual e o risco de erro humano em processos de rotação
- Tempo de inatividade reduzido: a rotação proativa antes da expiração evita interrupções no serviço
- Gerenciamento escalonável: automatizar a rotação em vários ativos e serviços
Autorotação para diferentes tipos de ativos
Autorrotação de chave
As chaves no Azure Key Vault podem ser configuradas com políticas de rotação que geram automaticamente novas versões de chave em frequências especificadas. Isso é útil para chaves usadas como CMKs (chaves gerenciadas pelo cliente) nos serviços do Azure.
A autorrotação de chave dá suporte a:
- Intervalos de rotação configuráveis (mínimo de sete dias)
- Notificações de quase expiração por meio da Grade de Eventos
- Rotação sob demanda, além da rotação agendada
- Integração com os serviços do Azure usando CMKs
Saiba como configurar a autorotação de chave no Azure Key Vault
Autorrotação de segredo
Os segredos no Azure Key Vault podem ser configurados para autorotação usando funções do Azure disparadas por eventos da Grade de Eventos. Isso é valioso para credenciais de banco de dados, chaves de API e outras informações confidenciais que exigem atualizações regulares.
A autorrotação de segredo dá suporte a:
- Acionamento baseado em evento por meio da Grade de Eventos
- Integração com o Azure Functions para lógica de rotação personalizada
- Notificações de quase expiração para lembretes de rotação manual
- Atualizar serviços dependentes com novos valores de segredo
O Azure Key Vault dá suporte a dois cenários de rotação secreta:
- Saiba como implementar a autorotação secreta para recursos com um conjunto de credenciais de autenticação
- Saiba como implementar a autorotação secreta para recursos com dois conjuntos de credenciais de autenticação
Alternância automática de certificados
Os certificados armazenados no Azure Key Vault podem ser renovados automaticamente antes de expirarem. O Key Vault lida com a renovação de certificados com autoridades de certificação integradas (ACs) ou por meio da regeneração de certificado autoassinado.
A autorrotação de certificado dá suporte a:
- Configuração de períodos de validade
- Renovação automática em um percentual especificado de tempo de vida ou dias antes da expiração
- Notificações por email para expiração do certificado
- Integração com autoridades de certificação como DigiCert e GlobalSign
Saiba como configurar a autorotação de certificado no Azure Key Vault
Melhores práticas para autorrotação
Ao implementar a autorotação no Azure Key Vault, considere estas práticas recomendadas:
- Usar controle de versão: verifique se os sistemas fazem referência à versão mais recente de uma chave, certificado ou segredo automaticamente
- Implementar controles de acesso adequados: use o RBAC do Azure para controlar quem pode configurar políticas de rotação
- Monitorar eventos de rotação: configurar notificações e alertas para rotações bem-sucedidas e com falha
- Testar procedimentos de rotação: validar que os sistemas dependentes podem lidar corretamente com ativos rotacionados
- Configurar frequências de rotação apropriadas: balancear os requisitos de segurança com considerações operacionais
- Procedimentos de fallback de documento: ter processos manuais de rotação documentados para cenários de emergência
- Siga as práticas recomendadas de segurança: implementar medidas de segurança abrangentes conforme descrito em Proteger seu Azure Key Vault
Cenários comuns de autorotação
Chaves gerenciadas pelo cliente para serviços do Azure
Muitos serviços do Azure dão suporte à criptografia com chaves gerenciadas pelo cliente armazenadas no Key Vault. Quando essas chaves são configuradas para autorotação, os serviços usam automaticamente a versão de chave mais recente para novas operações de criptografia, mantendo o acesso a dados criptografados com versões anteriores.
Credenciais do banco de dados
As credenciais de banco de dados armazenadas como segredos no Key Vault podem ser giradas automaticamente com aplicativos de funções que não só atualizam o segredo no Key Vault, mas também aplicam as novas credenciais ao banco de dados.
Chaves de API e credenciais de serviço
A autorotação de chaves de API e credenciais de serviço ajuda a manter a segurança limitando o tempo de vida desses ativos confidenciais. Implementando a rotação com o Azure Functions, você pode atualizar o Key Vault e os serviços de destino.