Descrever o Azure Key Vault

  • 3 minutos

O Azure Key Vault é serviço de nuvem para armazenar e acessar segredos de maneira segura. Um segredo é qualquer coisa a qual você queira controlar rigidamente o acesso, como chaves de API, senhas, certificados ou chaves de criptografia.

O Azure Key Vault ajuda a resolver os seguintes problemas:

  • Gerenciamento de segredos. Você pode usar o Key Vault para armazenar com segurança e controlar firmemente o acesso a tokens, senhas, certificados, chaves de API (Application Programming Interface) e outros segredos.
  • Gerenciamento de chaves. Você pode usar o Key Vault como uma solução de gerenciamento de chaves. O Key Vault facilita a criação e o controle das chaves de criptografia usadas para criptografar seus dados.
  • Gerenciamento de certificado. O Key Vault permite provisionar, gerenciar e implantar seus certificados SSL/TLS (Secure Sockets Layer/Transport Layer Security) públicos e privados para uso com o Azure e recursos conectados internamente.

O Azure Key Vault tem duas camadas de serviço: Standard, que faz a criptografia com uma chave de software, e uma camada Premium, que inclui chaves protegidas por HSM (módulo de segurança de hardware).

Por que usar o Key Vault?

Centralizar segredos do aplicativo. A centralização do armazenamento de segredos de aplicativos no Azure Key Vault permite que você controle sua distribuição, além de reduzir muito as chances de vazamento acidental de segredos. Quando os desenvolvedores de aplicativos usam o Key Vault, eles não precisam mais armazenar informações de segurança como parte do código no aplicativo. Em vez disso, o aplicativo pode acessar com segurança as informações necessárias usando um identificador de objeto do Key Vault que identifica exclusivamente o objeto no Key Vault. Os identificadores de objeto do Key Vault são URLs que permitem que o aplicativo recupere versões específicas de um segredo. Não há necessidade de gravar código personalizado para proteger informações secretas armazenadas no Key Vault.

Exemplos do formato de URL para uma camada padrão do identificador de objeto do Azure Key Vault e o HSM gerenciado da camada premium são os seguintes:

  • Para cofres da camada standard: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • Para HSM Gerenciado: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Armazene segredos e chaves com segurança. O acesso a um cofre de chaves requer a devida autenticação e autorização antes de um chamador (usuário ou aplicativo) poder obter acesso. A autenticação estabelece a identidade do chamador e a autorização determina as operações que ele tem permissão para executar.

A autenticação é feita por meio do Microsoft Entra. A autorização pode ser feita por meio do RBAC (controle de acesso baseado em função) do Azure ou da política de acesso do Key Vault.

O Azure Key Vault foi desenvolvido para que a Microsoft não veja nem extraia seus dados.

Monitorar o acesso e o uso. Depois de criar alguns Key Vaults, você pode monitorar a atividade habilitando o registro em log dos seus cofres. Você tem controle sobre os logs e pode protegê-los restringindo o acesso, e também pode excluir logs que não são mais necessários.

Administração simplificada de segredos do aplicativo. O Azure Key Vault simplifica a administração que normalmente seria necessária para proteger os segredos de seus aplicativos, incluindo:

  • Replicando o conteúdo de seu Key Vault dentro de uma região e para uma região secundária. A replicação de dados garante a alta disponibilidade e elimina a necessidade de qualquer ação por parte do administrador para disparar o failover.
  • Fornecendo opções de administração do Azure padrão por meio do portal, da CLI do Azure e do PowerShell.
  • Automatizando algumas tarefas em certificados que você compra de CAs (autoridades de certificação) públicas, como registro e renovação.

Diagram showing a representation of Azure Key Vault, an Azure developer receiving a key vault object identifier as a URI, and a security admin that obtains usage logging for keys.

Além disso, os Azure Key Vaults permitem que você separe os segredos do aplicativo. Os aplicativos podem acessar apenas o cofre que eles têm permissão para acessar e podem estar limitados a executar operações específicas. Você pode criar um Azure Key Vault por aplicativo e restringir os segredos armazenados em um Key Vault para um aplicativo e uma equipe de desenvolvedores específicos.