Sobre o Azure Key Vault
O Azure Key Vault é uma das várias soluções de gerenciamento de chaves no Azure e ajuda a resolver os seguintes problemas:
- Gerenciamento de Segredos – O Azure Key Vault pode ser usado para armazenar com segurança e controlar firmemente o acesso a tokens, senhas, certificados, chaves de API e outros segredos
- Gerenciamento de Chaves – O Azure Key Vault pode ser usado como uma solução de gerenciamento de chaves. O Azure Key Vault torna fácil criar e controlar as chaves de criptografia usadas para criptografar seus dados.
- Gerenciamento de Certificado – O Azure Key Vault permite provisionar, gerenciar e implantar com facilidade certificados de protocolo TLS/SSL públicos e privados para uso com o Azure e seus recursos internos conectados.
O Azure Key Vault tem duas camadas de serviço: Standard, que faz a criptografia com uma chave de software, e uma camada Premium, que inclui chaves protegidas por HSM (módulo de segurança de hardware). Para ver uma comparação entre as camadas Standard e Premium, confira a página de preços do Azure Key Vault.
Observação
Confiança Zero é uma estratégia de segurança composta por três princípios: "Verificar explicitamente", "Usar acesso de privilégios mínimos" e "Assumir a violação". A proteção de dados, incluindo o gerenciamento de chaves, dá suporte ao princípio de "usar acesso de privilégios mínimos". Para saber mais, confira O que é Confiança Zero?
Por que usar o Azure Key Vault?
Centralizar segredos do aplicativo
O armazenamento centralizado de segredos do aplicativo no Azure Key Vault permite que você controle sua distribuição. O Key Vault reduz consideravelmente a probabilidade de os segredos serem vazados acidentalmente. Ao usar o Key Vault, os desenvolvedores de aplicativos não precisam mais armazenar informações de segurança no aplicativo. A falta de necessidade de armazenar informações de segurança em aplicativos elimina a necessidade de inserir essas informações como parte do código. Por exemplo, um aplicativo pode precisar se conectar a um banco de dados. Em vez de armazenar a cadeia de conexão no código do aplicativo, armazene-o com segurança no Key Vault.
Os aplicativos podem acessar com segurança as informações necessárias usando URIs. Esses URIs permitem que os aplicativos recuperem versões específicas de um segredo. Não há necessidade de gravar código personalizado para proteger informações secretas armazenadas no Key Vault.
Armazene segredos e chaves com segurança
O acesso a um cofre de chaves requer a devida autenticação e autorização antes de um chamador (usuário ou aplicativo) poder obter acesso. A autenticação estabelece a identidade do chamador e a autorização determina as operações que ele tem permissão para executar.
A autenticação é feita pela ID do Microsoft Entra. A autorização pode ser feita por meio do RBAC (controle de acesso baseado em função) do Azure ou da política de acesso do Key Vault. O RBAC do Azure pode ser usado tanto para o gerenciamento dos cofres quanto para o acesso aos dados armazenados em um cofre, enquanto a política de acesso ao cofre de chaves só pode ser usada para tentar acessar os dados armazenados em um cofre.
Os cofres de chaves do Azure são criptografados em repouso com uma chave armazenada em HSMs (módulos de segurança de hardware). O Azure protege chaves, segredos e certificados usando algoritmos padrão do setor, comprimentos de chave e módulos criptográficos de software. Para maior garantia, você pode gerar ou importar chaves em HSMs (tipo RSA-HSM, EC-HSM ou OCT-HSM) que nunca saem do limite do HSM. O Azure Key Vault usa módulos criptográficos de software e HSMs validados pelo Federal Information Processing Standard 140.
Por fim, o Azure Key Vault é projetado para que a Microsoft não veja nem extraia seus dados.
Monitorar o acesso e o uso
Depois de criar alguns Key Vaults, você deverá monitorar como e quando suas chaves e segredos estão sendo acessados. Monitore a atividade habilitando o log para os cofres. Você pode configurar o Azure Key Vault para:
- Arquive em uma conta de armazenamento.
- Transmita para um hub de eventos.
- Enviar logs para os logs do Azure Monitor.
Você tem controle sobre os logs e pode protegê-los restringindo o acesso, e também pode excluir logs que não são mais necessários.
Administração simplificada de segredos do aplicativo
Ao armazenar dados valiosos, é necessário executar várias etapas. As informações de segurança precisam ser protegidas, seguir um ciclo de vida e estar altamente disponíveis. O Azure Key Vault simplifica o processo de atender a esses requisitos por meio de:
- Remoção da necessidade de conhecimento interno sobre Módulos de Segurança de Hardware.
- Escalonamento vertical rápido para atender aos picos de uso da sua organização.
- Replicando o conteúdo de seu Key Vault dentro de uma região e para uma região secundária. A replicação de dados garante a alta disponibilidade e elimina a necessidade de qualquer ação por parte do administrador para disparar o failover.
- Fornecendo opções de administração do Azure padrão por meio do portal, da CLI do Azure e do PowerShell.
- Automatizando algumas tarefas em certificados que você compra de autoridades de certificação pública, como registro e renovação.
Além disso, os Azure Key Vaults permitem que você separe os segredos do aplicativo. Os aplicativos podem acessar apenas o cofre que eles têm permissão para acessar e podem estar limitados a executar operações específicas. Você pode criar um Azure Key Vault por aplicativo e restringir os segredos armazenados em um Key Vault para um aplicativo e uma equipe de desenvolvedores específicos.
Integração com outros serviços do Azure
Como um repositório seguro no Azure, o Key Vault tem sido usado para simplificar cenários como:
- Criptografia de Disco do Azure
- As funcionalidades Always Encrypted e Transparent Data Encryption no SQL Server e no Banco de Dados SQL do Azure
- Serviço de Aplicativo do Azure.
O próprio Key Vault pode se integrar às contas de armazenamento, aos hubs de eventos e ao Log Analytics.