Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure Key Vault protege chaves de criptografia e segredos, como certificados, cadeias de conexão e senhas. Este artigo ajuda você a otimizar o uso de cofres de chaves.
Usar cofres de chaves separados
Nossa recomendação é usar um cofre por aplicativo por ambiente (desenvolvimento, pré-produção e produção), por região. O isolamento granular ajuda você a não compartilhar segredos entre aplicativos, ambientes e regiões e também reduz a ameaça se houver uma violação.
Por que recomendamos cofres de chaves separados
Os cofres de chaves definem limites de segurança para segredos armazenados. Agrupar segredos no mesmo cofre aumenta o raio de explosão de um evento de segurança porque os ataques podem ser capazes de acessar segredos através de interesses. Para atenuar as questões de acesso, considere a quais segredos um aplicativo específico deve ter acesso e, em seguida, separe seus cofres de chaves com base nessa delineação. Separar cofres de chaves por aplicativo é o limite mais comum. Os limites de segurança, no entanto, podem ser mais granulares para aplicativos grandes, por exemplo, por grupo de serviços relacionados.
Controle de acesso ao seu cofre
Chaves de criptografia e segredos como certificados, cadeias de conexão e senhas são confidenciais e críticos para os negócios. Você precisa proteger o acesso aos cofres de chaves permitindo apenas aplicativos e usuários autorizados. Os recursos de segurança do Azure Key Vault fornecem uma visão geral do modelo de acesso do Key Vault. Ele explica a autenticação e a autorização. Também descreve como proteger o acesso aos cofres de chaves.
As recomendações para controlar o acesso ao seu cofre são as seguintes:
- Bloqueie o acesso à sua assinatura, grupo de recursos e cofres de chaves usando o modelo de permissão de controle de acesso baseado em função (RBAC) para plano de dados.
- Atribua funções RBAC no escopo do Key Vault para aplicativos, serviços e cargas de trabalho que exigem acesso persistente ao Key Vault
- Atribua funções RBAC qualificadas just-in-time para operadores, administradores e outras contas de usuário que exigem acesso privilegiado ao Key Vault usando Privileged Identity Management (PIM)
- Exigir pelo menos um aprovador
- Imponha autenticação multifator
- Restringir o acesso à rede com Link Privado, firewall e redes virtuais
Importante
O modelo de permissão de Políticas de Acesso Herdado tem vulnerabilidades de segurança conhecidas e falta de suporte ao Gerenciamento de Identidades Priviliged e não deve ser usado para cargas de trabalho e dados críticos.
Ative a proteção de dados para o cofre
Ative a proteção de limpeza para se proteger contra a exclusão mal-intencionada ou acidental dos segredos e do cofre de chaves, mesmo após a ativação da exclusão reversível.
Para obter mais informações, confira Visão geral da exclusão temporária do Azure Key Vault.
Ativar o registro em log
Ative o registro em log para o cofre. Além disso, configure alertas.
Cópia de segurança
A proteção contra limpeza impede a exclusão mal-intencionada e acidental de objetos do cofre por até 90 dias. Em cenários em que a proteção contra eliminação não é possível, recomendamos o armazenamento de objetos no cofre de backup que não podem ser recriados a partir de outras fontes, como chaves de criptografia geradas dentro do cofre.
Para obter mais informações sobre backup, consulte backup e restauração do Azure Key Vault.
Soluções multilocatário e Key Vault
Uma solução multilocatário é criada em uma arquitetura em que os componentes são usados para atender a vários clientes ou locatários. Soluções multi-inquilino geralmente são usadas para dar suporte a soluções SaaS (software como serviço). Se você estiver criando uma solução multilocatário que inclua o Key Vault, é recomendável usar um Key Vault por cliente para fornecer isolamento para dados e cargas de trabalho dos clientes, examine Multilocatário e Azure Key Vault.
Perguntas frequentes:
Posso usar atribuições de escopo de objeto de modelo de permissão de RBAC (controle de acesso baseado em função) do Key Vault para fornecer isolamento para equipes de aplicativos no Key Vault?
Não. O modelo de permissão RBAC permite atribuir acesso a objetos individuais no Key Vault ao usuário ou aplicativo, mas somente para leitura. Todas as operações administrativas, como controle de acesso à rede, monitoramento e gerenciamento de objetos, exigem permissões no nível do cofre. Ter um Key Vault por aplicativo fornece isolamento seguro para operadores entre equipes de aplicativos.
Próximas etapas
Saiba mais sobre as principais práticas recomendadas de gerenciamento: