Partilhar via


Práticas recomendadas para usar o Azure Key Vault

O Azure Key Vault protege chaves de criptografia e segredos como certificados, cadeias de conexão e senhas. Este artigo ajuda-o a otimizar o uso de cofres de chaves.

Use cofres de chaves separados

Nossa recomendação é usar um cofre por aplicativo e por ambiente (desenvolvimento, pré-produção e produção), por região. O isolamento granular ajuda você a não compartilhar segredos entre aplicativos, ambientes e regiões, além de reduzir a ameaça se houver uma violação.

Por que recomendamos repositórios de chaves separados

Os cofres de chaves definem limites de segurança para segredos armazenados. Agrupar segredos no mesmo cofre aumenta o raio de explosão de um evento de segurança, pois os ataques podem conseguir aceder a segredos através de diferentes áreas. Para mitigar o acesso a várias preocupações, considere a quais segredos um aplicativo específico deve ter acesso e, em seguida, separe os seus cofres de chaves com base nesta delineação. Separar os cofres de chaves por aplicação é a fronteira mais comum. Os limites de segurança, no entanto, podem ser mais granulares para aplicativos grandes, por exemplo, por grupo de serviços relacionados.

Controle o acesso ao seu cofre

Chaves de criptografia e segredos como certificados, cadeias de conexão e senhas são confidenciais e essenciais para os negócios. Você precisa proteger o acesso aos seus cofres de chaves, permitindo apenas aplicativos e usuários autorizados. Os recursos de segurança do Cofre da Chave do Azure fornecem uma visão geral do modelo de acesso ao Cofre da Chave. Ele explica a autenticação e a autorização. Também descreve como garantir o acesso seguro aos seus cofres de chaves.

As recomendações para controlar o acesso ao seu cofre são as seguintes:

  • Bloqueie o acesso à sua assinatura, grupo de recursos e cofres de chaves usando o modelo de permissão RBAC (controle de acesso baseado em função) para o plano de dados.
    • Atribua funções RBAC no escopo do Key Vault para aplicativos, serviços e cargas de trabalho que exijam acesso persistente ao Key Vault
    • Atribua funções RBAC just-in-time para operadores, administradores e outras contas de utilizador que requeiram acesso privilegiado ao Cofre de Chaves usando o Gerenciamento Privilegiado de Identidades (PIM)
      • Exigir pelo menos um aprovador
      • Aplicar autenticação multifator
  • Restrinja o acesso à rede com Private Link, firewall e redes virtuais

Importante

O modelo de permissão de Políticas de Acesso Herdadas tem vulnerabilidades de segurança conhecidas e falta de suporte ao Gerenciamento de Identidades Privilegiadas e não deve ser usado para dados e cargas de trabalho críticas.

Ativar a proteção de dados para o seu cofre

Ative a proteção contra eliminação para proteger contra a eliminação maliciosa ou acidental dos segredos e do cofre de chaves, mesmo depois que a eliminação suave estiver ativada.

Para obter mais informações, consulte Visão geral de exclusão suave do Azure Key Vault.

Ativar o registo

Ative o registo no seu cofre. Além disso, configure alertas.

Cópia de segurança

A proteção contra eliminação impede a exclusão maliciosa e acidental de objetos do cofre durante um máximo de 90 dias. Em cenários, quando a proteção contra limpeza não é uma opção possível, recomendamos objetos de backup do cofre, que não podem ser recriados a partir de outras fontes, como chaves de criptografia geradas dentro do cofre.

Para obter mais informações sobre backup, consulte Backup e restauração do Cofre de Chaves do Azure.

Soluções multilocatárias e Key Vault

Uma solução multilocatária é construída em uma arquitetura onde os componentes são usados para atender vários clientes ou locatários. As soluções multilocatárias são frequentemente usadas para dar suporte a soluções de software como serviço (SaaS). Se estiver a desenvolver uma solução multilocatária que inclua o Azure Key Vault, recomenda-se usar um Azure Key Vault por cliente para fornecer isolamento de dados e cargas de trabalho dos clientes. Rever Multilocação e Azure Key Vault.

Perguntas frequentes:

Posso usar atribuições de escopo de objeto do modelo de permissão RBAC (controle de acesso baseado em função) do Key Vault para fornecer isolamento para equipes de aplicativos no Key Vault?

Não. O modelo de permissão RBAC permite atribuir acesso a objetos individuais no Cofre da Chave ao usuário ou aplicativo, mas apenas para leitura. Quaisquer operações administrativas, como controle de acesso à rede, monitoramento e gerenciamento de objetos, exigem permissões no nível do cofre. Ter um Cofre de Chaves por aplicativo fornece isolamento seguro para operadores em todas as equipes de aplicativos.

Próximos passos

Saiba mais sobre as principais práticas recomendadas de gerenciamento: