Gerenciamento de chaves e certificados no Microsoft Cloud for Sovereignty
A autenticação criptográfica e a criptografia são estratégias eficazes para atender aos requisitos de confidencialidade, privacidade e soberania de dados. No entanto, a eficácia dessas soluções depende da segurança e resiliência das tecnologias criptográficas subjacentes e dos processos operacionais. Este artigo apresenta conceitos com os quais você deve estar familiarizado ao planejar o uso de chaves de criptografia e certificados digitais para proteger as cargas de trabalho que migrar para a nuvem.
Gerenciamento de chaves
Os materiais criptográficos são armazenados e gerenciados no Azure usando o Azure Key Vault, que está disponível nos modos de implantação multilocatário e de locatário único. O Azure Key Vault (AKV) fornece gerenciamento de chaves nativas da nuvem, segredos e certificados em um serviço multilocatário com suporte de módulos de segurança de hardware com validação FIPS 140. O HSM gerenciado do Azure Key Vault é um serviço de locatário único que oferece controle administrativo total sobre o domínio de segurança da sua organização e as chaves de criptografia associadas.
Recomendações para um gerenciamento de chaves eficaz
Os controles de plataforma, embora imperativos, não são o único aspecto do gerenciamento de chaves eficaz. A Microsoft também apresenta diversas melhores práticas para um gerenciamento de chaves eficaz.
Controle de Acesso
Se você estiver usando as SKUs Standard ou Premium do Azure Key Vault, recomendamos a implantação de um cofre por aplicativo, ambiente e região, para aplicar o privilégio mínimo. Se você estiver usando o HSM gerenciado, a implantação de um número menor de cofres centralizados pode ser melhor para gerenciar os custos. Independentemente do SKU implantado, você deve regular rigorosamente o acesso ao cofre usando o RBAC (Controle de acesso baseado em função) e garantir que as políticas de acesso dentro de cada cofre sigam o princípio do menor privilégio. Recomendamos conceder acesso a usuários, grupos e aplicativos num âmbito específico, como subscrição, grupo de recursos ou apenas um cofre de chaves específico, utilizando funções predefinidas do Azure RBAC. Controlar o acesso é crítico e recomendado nos planos de gerenciamento e de dados.
Backup e recuperação
Você precisa ter backups regulares no nível do HSM e para chaves específicas. Recomendamos que você configure soft-delete e limpe os recursos de proteção para se proteger contra exclusões acidentais e maliciosas. O Azure Monitor, que é totalmente integrado ao HSM gerenciado, é recomendado para monitorar e registrar em log o acesso aos cofres de chaves. Para obter mais informações, consulte Melhores práticas de HSM gerenciado do Azure.
Rotação de chave
Certifique-se de que sejam realizadas rotações regulares de Chaves Gerenciadas pelo Cliente (CMKs), com a frequência determinada pela política da sua organização. As chaves também deverão ser alternadas se um administrador, com acesso à chave, sair ou alterar funções, ou se alguma CMK for comprometida. A rotação automática é compatível com o Azure Key Vault e o HSM Gerenciado pelo Azure. Sempre que possível, certifique-se de que o processo de rotação seja automatizado, executado sem qualquer interação humana e testado para garantir a eficácia. Em emergências como uma chave comprometida, você precisa de um sistema robusto para regenerar segredos imediatamente. Se a automatização deste processo não for viável, recomendamos a criação de alertas para evitar expirações e interrupções de certificados.
Observação
Embora a rotação de CMKs para VMs confidenciais seja suportada, ainda há suporte para o processo de automação. Você pode exibir mais recomendações aqui.
Recomendações relacionadas ao HSM
Alguns clientes manifestam interesse em manter suas chaves separadas dos dados, armazenando-as em um HSM externo, seja em uma nuvem de terceiros ou local. Embora essa etapa possa parecer uma transição natural do gerenciamento de ambientes locais, um HSM externo pode introduzir novos riscos nas camadas de identidade, rede e software. Um HSM externo também pode aumentar os riscos de desempenho e introduzir preocupações, como problemas de rede que causam latência, problemas de SLA causados por problemas com o HSM de terceiros e custos de manutenção e treinamento. Além disso, HSMs de terceiros podem não fornecer recursos importantes, como exclusão temporária e proteção contra limpeza.
Para obter mais informações sobre os controles técnicos incorporados à Zona de Destino Soberana (SLZ) para impor práticas apropriadas de gerenciamento de chaves, consulte Portfólio de políticas.
Gerenciamento de certificados
Os certificados de segurança digital são amplamente utilizados para proteger as comunicações para aplicativos de nuvem. A sobrecarga associada às atividades de gerenciamento de certificados, incluindo emissão, rotação e revogação de certificados, pode crescer rapidamente à medida que mais cargas de trabalho são migradas para a nuvem. Os clientes que planejam migrar suas cargas de trabalho para o Microsoft Cloud for Sovereignty devem entender seus cenários de certificado de segurança digital para que possam desenvolver planos de gerenciamento de certificados como parte de sua migração para a nuvem.
Cenários comuns de certificado digital
Esta seção descreve cenários comuns de nuvem que usam certificados digitais para proteger as comunicações.
Autenticação e criptografia de sites
Os sites usam certificados TLS para verificar sua identidade para os visitantes e criptografar as comunicações. Os sites públicos geralmente usam certificados de autoridades de certificação (CA) públicas, mas as organizações geralmente usam certificados de uma CA privada para sites que não estão expostos ao público. Em ambos os casos, os certificados para os sites devem ser renovados quando expiram ou quando a integridade do certificado está em questão. Para organizações com uma grande presença na Web, o gerenciamento desses certificados pode exigir planejamento e esforços significativos.
Autenticação de serviço
Aplicativos distribuídos e microsserviços geralmente usam um modelo de sessão sem monitoração de estado, o que permite flexibilidade no tratamento de solicitações de aplicativos, mas também pode exigir autenticação e criptografia adicionais para reduzir os riscos de segurança. Os certificados costumam ser usados para autenticação mútua entre camadas e componentes do aplicativo. Geralmente, esses componentes são gerenciados por equipes de desenvolvimento de aplicativos descentralizadas, o que dificulta o rastreamento e o monitoramento de certificados digitais em toda a empresa.
Autenticação de infraestrutura
Servidores e dispositivos de rede geralmente usam certificados de cliente para a autenticação na rede corporativa e durante atividades de manutenção. As organizações que usam soluções como o Active Directory ou o Kerberos geralmente precisam gerenciar certificados de cliente para a infraestrutura implantada.
Outros cenários de certificado
As soluções de gerenciamento de ponto de extremidade geralmente usam certificados de dispositivo para autenticar dispositivos de usuário final, como PCs, laptops e dispositivos móveis. Os certificados de assinatura de código são usados em ambientes de desenvolvimento para verificar o fornecedor do software como parte da abordagem de segurança de aplicativo de uma organização.
Gerenciamento do ciclo de vida do certificado na nuvem
Certificados gerenciados por plataforma versus certificados gerenciados pelo cliente
Os serviços de PaaS do Azure que fornecem criptografia para dados em trânsito geralmente implementam a criptografia usando certificados digitais gerenciados pela plataforma e associados ao nome de host padrão atribuído na criação do recurso. Quando você deseja usar um nome de domínio personalizado com os recursos implantados na nuvem, é necessário configurar um certificado que possa ser usado por usuários externos quando eles acessarem o serviço. Para a comunicação intraserviço entre serviços do Azure que não estão configurados para usar nomes de domínio personalizados, os certificados gerenciados por plataforma são o meio padrão para criptografar dados em trânsito. Se você quiser usar certificados associados a nomes de domínio personalizados, consulte a documentação dos serviços do Azure que planeja implantar, como os exemplos a seguir.
- Domínios personalizados no Serviço de Aplicativo do Azure
- Domínios personalizados em Aplicativos de Contêiner do Azure
Criar certificados com o Azure Key Vault
O Azure Key Vault fornece aos clientes recursos de gerenciamento de certificados nativos da nuvem que permitem que a plataforma Azure use certificados que os clientes criam ou importam. Você pode criar certificados autoassinados no Key Vault, solicitar um certificado de um emissor ou importar um certificado de sua própria autoridade de certificação. O Key Vault também ajuda a especificar políticas para certificados, por exemplo, se os certificados devem ser exportáveis ou não exportáveis.
- Introdução aos certificados do Key Vault
- Integrando o Key Vault com autoridades de certificação integradas
- Criar e mesclar uma solicitação de assinatura de certificado no Key Vault
Criar certificados locais e gerenciá-los no Azure
Se quiser emitir certificados de uma autoridade de certificação local, você poderá importar esses certificados para o Azure Key Vault para uso por outros serviços do Azure. Depois que um certificado for exportado como um arquivo PEM ou PFX, você poderá importá-lo para o Azure Key Vault.
Criar e gerenciar certificados locais com soluções de terceiros
As organizações que já tenham recursos de gerenciamento de certificados de nível empresarial poderão considerar a possibilidade de integrar suas soluções locais às suas cargas de trabalho na nuvem. Muitas autoridades de certificação locais e soluções de gerenciamento de certificados podem ser integradas ao Key Vault usando a API REST e as identidades gerenciadas.
Gerenciamento de certificados descentralizado
Uma abordagem para dimensionar os recursos de gerenciamento de certificados de uma organização é descentralizar a emissão e o gerenciamento de certificados para equipes de aplicativos e de infraestrutura. Soluções como o Azure Key Vault permitem que uma organização padronize tecnologias e processos aceitáveis de gerenciamento de chaves, sem centralizar a administração desses processos de gerenciamento de chaves em uma única equipe de operações. Várias estratégias podem ser usadas para delegar responsabilidades de gerenciamento de chaves para mais perto das equipes de aplicativos e de infraestrutura.
Certificados gerenciados
Os sites voltados para o público que exigem certificados de uma autoridade de certificação pública podem aproveitar os certificados gerenciados nos serviços de PaaS do Azure, como o Serviço de Aplicativo do Azure ou o Azure Front Door. Os certificados das autoridades de certificação integradas também podem ser criados, gerenciados e trocados no Azure Key Vault. Para obter mais informações, consulte os seguintes recursos:
- Domínios personalizados e certificados no Serviço de Aplicativo do Azure
- Domínios personalizados no Azure Front Door
- Integrando o Key Vault à autoridade de certificação DigiCert
Automatizando a emissão de certificados em pipelines de CI/CD
As organizações que adotam os processos de Dev/Ops podem automatizar a emissão de certificados como parte de seus pipelines de CI/CD. Essa abordagem delega algumas responsabilidades de gerenciamento de certificados a equipes de aplicativos e permite que elas provisionem seus próprios certificados usando serviços nativos do Azure, como o DNS do Azure, o Serviço de Aplicativo do Azure e o Azure Key Vault.
Gerenciando certificados de ponto de extremidade
Os certificados de ponto de extremidade são usados em cargas de trabalho de IaaS, em que servidores e serviços usam certificados para autenticação. Como esse cenário está associado a máquinas virtuais, as organizações podem gerenciar esses certificados usando as mesmas ferramentas de gerenciamento de configuração ou criar ferramentas de automação que são usadas para gerenciar as configurações de máquinas virtuais.