Explorar o Azure Key Vault
O Azure Key Vault dá suporte a dois tipos de contêineres: cofres e pools de HSM (módulo de segurança de hardware) gerenciados. Os cofres oferecem suporte ao armazenamento de chaves, segredos e certificados apoiados por software e HSM. Os pools HSM gerenciados oferecem suporte apenas a chaves apoiadas por HSM.
O Azure Key Vault ajuda a resolver os problemas a seguir:
Gerenciamento de segredos: o Azure Key Vault pode ser usado para armazenar com segurança e controlar firmemente o acesso a tokens, senhas, certificados, chaves de API e outros segredos
Gerenciamento de chaves: o Azure Key Vault também pode ser usado como uma solução de gerenciamento de chaves. O Azure Key Vault torna fácil criar e controlar as chaves de criptografia usadas para criptografar seus dados.
Gerenciamento de certificados: O Azure Key Vault também é um serviço que permite provisionar, gerenciar e implantar certificados de protocolo SSL/TLS públicos e privados para uso com o Azure e seus recursos internos conectados com facilidade.
O Azure Key Vault tem duas camadas de serviço: Standard, que faz a criptografia com uma chave de software, e uma camada Premium, que inclui chaves protegidas por HSM (módulo de segurança de hardware). Para ver uma comparação entre as camadas Standard e Premium, confira a página de preços do Azure Key Vault.
Principais benefícios de usar o Azure Key Vault
Segredos centralizados do aplicativo: centralizar o armazenamento de segredos do aplicativo Azure Key Vault permite que você controle sua distribuição. Por exemplo, em vez de armazenar a cadeia de conexão no código do aplicativo, você pode armazená-la com segurança no Key Vault. Os aplicativos podem acessar com segurança as informações necessárias usando URIs. Esses URIs permitem que os aplicativos recuperem versões específicas de um segredo.
Armazene segredos e chaves com segurança: o acesso a um cofre de chaves requer autenticação e autorização adequadas antes que um chamador (usuário ou aplicativo) possa obter acesso. A autenticação é feita por meio do Microsoft Entra ID. A autorização pode ser feita por meio do RBAC (controle de acesso baseado em função) do Azure ou da política de acesso do Key Vault. O RBAC do Azure pode ser usado tanto para o gerenciamento dos cofres quanto para o acesso aos dados armazenados em um cofre, enquanto a política de acesso ao cofre de chaves só pode ser usada para tentar acessar os dados armazenados em um cofre. Os Azure Key Vaults podem ser protegidos por software ou, com a camada do Azure Key Vault Premium, protegidos por hardware por HSMs (módulos de segurança de hardware).
Monitorar o acesso e o uso: você pode monitorar a atividade habilitando o registro em log para seus cofres. Você tem controle sobre os logs e pode protegê-los restringindo o acesso, e também pode excluir logs que não são mais necessários. O Azure Key Vault pode ser configurado para:
- Arquive em uma conta de armazenamento.
- Transmita para um hub de eventos.
- Enviar logs para os logs do Azure Monitor.
Administração simplificada de segredos do aplicativo: as informações de segurança precisam ser protegidas, seguir um ciclo de vida e estar altamente disponíveis. O Azure Key Vault simplifica o processo de atender a esses requisitos por meio de:
- Remoção da necessidade de conhecimento interno sobre Módulos de Segurança de Hardware
- Escalando verticalmente e rapidamente para atender aos picos de uso da sua organização.
- Replicando o conteúdo de seu Key Vault dentro de uma região e para uma região secundária. A replicação de dados garante a alta disponibilidade e elimina a necessidade de qualquer ação por parte do administrador para disparar o failover.
- Fornecendo opções de administração do Azure padrão por meio do portal, da CLI do Azure e do PowerShell.
- Automatizando algumas tarefas em certificados que você compra de autoridades de certificação pública, como registro e renovação.