Partilhar via


Práticas recomendadas para usar o Azure Key Vault

O Azure Key Vault protege chaves de criptografia e segredos como certificados, cadeias de conexão e senhas. Este artigo ajuda-o a otimizar a utilização dos cofres de chaves.

Use cofres de chaves separados

Nossa recomendação é usar um cofre por aplicativo e por ambiente (desenvolvimento, pré-produção e produção), por região. O isolamento granular ajuda você a não compartilhar segredos entre aplicativos, ambientes e regiões, além de reduzir a ameaça se houver uma violação.

Por que recomendamos cofres de chaves separados

Os cofres de chaves definem limites de segurança para segredos armazenados. Agrupar segredos no mesmo cofre aumenta o raio de explosão de um evento de segurança porque os ataques podem ser capazes de acessar segredos em todas as preocupações. Para mitigar o acesso entre preocupações, considere quais segredos um aplicativo específico deve ter acesso e, em seguida, separe seus cofres de chaves com base nessa delimitação. Separar os cofres de chaves por aplicativo é o limite mais comum. Os limites de segurança, no entanto, podem ser mais granulares para aplicativos grandes, por exemplo, por grupo de serviços relacionados.

Controle o acesso ao seu cofre

Chaves de criptografia e segredos como certificados, cadeias de conexão e senhas são confidenciais e essenciais para os negócios. Você precisa proteger o acesso aos seus cofres de chaves, permitindo apenas aplicativos e usuários autorizados. Os recursos de segurança do Cofre da Chave do Azure fornecem uma visão geral do modelo de acesso ao Cofre da Chave. Ele explica a autenticação e a autorização. Também descreve como proteger o acesso aos seus cofres de chaves.

As recomendações para controlar o acesso ao seu cofre são as seguintes:

  • Bloqueie o acesso à sua assinatura, grupo de recursos e cofres de chaves usando o modelo de permissão RBAC (controle de acesso baseado em função) para o plano de dados.
    • Atribua funções RBAC no escopo do Key Vault para aplicativos, serviços e cargas de trabalho que exijam acesso persistente ao Key Vault
    • Atribua funções RBAC qualificadas just-in-time para operadores, administradores e outras contas de usuário que exijam acesso privilegiado ao Cofre de Chaves usando o PIM, Gerenciamento Privilegiado de Identidades (PIM)
      • Exigir pelo menos um aprovador
      • Reforçar autenticação multifator
  • Restrinja o acesso à rede com Private Link, firewall e redes virtuais

Importante

O modelo de permissão de Políticas de Acesso Herdadas tem vulnerabilidades de segurança conhecidas e falta de suporte ao Gerenciamento de Identidades Privadas e não deve ser usado para dados e cargas de trabalho críticos.

Ativar a proteção de dados para o seu cofre

Ative a proteção contra limpeza para proteger contra a exclusão maliciosa ou acidental dos segredos e do cofre de chaves, mesmo depois que a exclusão suave estiver ativada.

Para obter mais informações, consulte Visão geral de exclusão suave do Azure Key Vault.

Ativar o registo

Ative o registo no seu cofre. Além disso, configure alertas.

Backup

A proteção contra limpeza impede a exclusão maliciosa e acidental de objetos do cofre por até 90 dias. Em cenários, quando a proteção contra limpeza não é uma opção possível, recomendamos objetos de backup do cofre, que não podem ser recriados a partir de outras fontes, como chaves de criptografia geradas dentro do cofre.

Para obter mais informações sobre backup, consulte Backup e restauração do Cofre de Chaves do Azure.

Soluções multilocatárias e Key Vault

Uma solução multilocatária é construída em uma arquitetura onde os componentes são usados para atender vários clientes ou locatários. As soluções multilocatárias são frequentemente usadas para dar suporte a soluções de software como serviço (SaaS). Se você estiver criando uma solução multilocatária que inclua o Cofre da Chave, é recomendável usar um Cofre da Chave por cliente para fornecer isolamento para dados e cargas de trabalho dos clientes, revisar Multilocação e Cofre da Chave do Azure.

Perguntas Mais Frequentes:

Posso usar atribuições de escopo de objeto do modelo de permissão RBAC (controle de acesso baseado em função) do Key Vault para fornecer isolamento para equipes de aplicativos no Key Vault?

N.º O modelo de permissão RBAC permite atribuir acesso a objetos individuais no Cofre da Chave ao usuário ou aplicativo, mas apenas para leitura. Quaisquer operações administrativas, como controle de acesso à rede, monitoramento e gerenciamento de objetos, exigem permissões no nível do cofre. Ter um Cofre de Chaves por aplicativo fornece isolamento seguro para operadores em todas as equipes de aplicativos.

Próximos passos

Saiba mais sobre as principais práticas recomendadas de gerenciamento: