Segurança do Azure Key Vault

O Azure Key Vault protege chaves criptográficas, certificados (e as chaves privadas associadas aos certificados) e segredos (como cadeias de conexão e senhas) na nuvem. Ao armazenar dados confidenciais e críticos para os negócios, no entanto, você deve tomar medidas para maximizar a segurança de seus cofres e dos dados armazenados neles.

Este artigo fornece uma visão geral dos recursos de segurança e das práticas recomendadas para o Cofre da Chave do Azure.

Nota

Para obter uma lista abrangente das recomendações de segurança do Cofre da Chave do Azure, consulte a Linha de base de segurança do Cofre da Chave do Azure.

Segurança da rede

Você pode reduzir a exposição de seus cofres especificando quais endereços IP têm acesso a eles. Os pontos de extremidade do serviço de rede virtual para o Cofre da Chave do Azure permitem restringir o acesso a uma rede virtual especificada. Os pontos de extremidade também permitem restringir o acesso a uma lista de intervalos de endereços IPv4 (protocolo Internet versão 4). Qualquer usuário que se conecte ao seu cofre de chaves de fora dessas fontes tem acesso negado. Para obter detalhes completos, consulte Pontos de extremidade de serviço de rede virtual para o Azure Key Vault

Depois que as regras de firewall estiverem em vigor, os usuários só poderão ler dados do Cofre de Chaves quando suas solicitações tiverem origem em redes virtuais permitidas ou intervalos de endereços IPv4. Isso também se aplica ao acesso ao Cofre da Chave a partir do portal do Azure. Embora os usuários possam navegar até um cofre de chaves no portal do Azure, talvez não consigam listar chaves, segredos ou certificados se a máquina cliente não estiver na lista de permissões. Para obter as etapas de implementação, consulte Configurar firewalls e redes virtuais do Azure Key Vault

O Serviço de Link Privado do Azure permite que você acesse o Cofre da Chave do Azure e os serviços de cliente/parceiro hospedados pelo Azure em um Ponto de Extremidade Privado em sua rede virtual. Um Ponto de Extremidade Privado do Azure é uma interface de rede que o conecta de forma privada e segura a um serviço desenvolvido pelo Azure Private Link. O ponto final privado utiliza um endereço IP privado da VNet, para que possa aceder ao serviço de forma eficaz através da VNet. Todo o tráfego para o serviço pode ser encaminhado através do ponto final privado, pelo que não são necessários gateways, dispositivos NAT, ligações ExpressRoute ou VPN nem endereços IP públicos. O tráfego entre a rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição da Internet pública. Você pode se conectar a uma instância de um recurso do Azure, oferecendo o mais alto nível de granularidade no controle de acesso. Para obter as etapas de implementação, consulte Integrar o Cofre da Chave com o Azure Private Link

TLS e HTTPS

  • O front-end do Cofre da Chave (plano de dados) é um servidor multilocatário. Isso significa que cofres de chaves de clientes diferentes podem compartilhar o mesmo endereço IP público. Para obter isolamento, cada solicitação HTTP é autenticada e autorizada independentemente de outras solicitações.
  • O protocolo HTTPS permite que o cliente participe da negociação TLS. Os clientes podem impor a versão do TLS e, sempre que um cliente fizer isso, toda a conexão usará a proteção de nível correspondente. O Key Vault suporta as versões do protocolo TLS 1.2 e 1.3.

Nota

Você pode monitorar a versão TLS usada pelos clientes monitorando os logs do Key Vault com uma consulta Kusto de exemplo aqui.

Opções de autenticação do Cofre da Chave

Quando você cria um cofre de chaves em uma assinatura do Azure, ele é automaticamente associado ao locatário do Microsoft Entra da assinatura. Todos os chamadores em ambos os planos devem se registrar neste locatário e autenticar-se para acessar o cofre de chaves. Em ambos os casos, os aplicativos podem acessar o Key Vault de três maneiras:

  • Somente aplicativo: o aplicativo representa uma entidade de serviço ou identidade gerenciada. Essa identidade é o cenário mais comum para aplicativos que precisam acessar periodicamente certificados, chaves ou segredos do cofre de chaves. Para que esse cenário funcione, o objectId do aplicativo deve ser especificado na política de acesso e o applicationId não deve ser especificado ou deve ser null.
  • Somente usuário: o usuário acessa o cofre de chaves de qualquer aplicativo registrado no locatário. Exemplos desse tipo de acesso incluem o Azure PowerShell e o portal do Azure. Para que esse cenário funcione, o objectId do usuário deve ser especificado na política de acesso e o applicationId não deve ser especificado ou deve ser null.
  • Application-plus-user (às vezes referido como identidade composta): O usuário é obrigado a acessar o cofre de chaves de um aplicativo específico e o aplicativo deve usar o fluxo de autenticação em nome de (OBO) para representar o usuário. Para que esse cenário funcione, ambos applicationId devem objectId ser especificados na política de acesso. O applicationId identifica o aplicativo necessário e o objectId identifica o usuário. Atualmente, essa opção não está disponível para o plano de dados Azure RBAC.

Em todos os tipos de acesso, o aplicativo é autenticado com o Microsoft Entra ID. O aplicativo usa qualquer método de autenticação suportado com base no tipo de aplicativo. O aplicativo adquire um token para um recurso no plano para conceder acesso. O recurso é um ponto de extremidade no plano de gerenciamento ou de dados, com base no ambiente do Azure. O aplicativo usa o token e envia uma solicitação de API REST para o Cofre de Chaves. Para saber mais, revise todo o fluxo de autenticação.

O modelo de um único mecanismo de autenticação para ambos os planos tem vários benefícios:

  • As organizações podem controlar o acesso centralmente a todos os cofres de chaves em sua organização.
  • Se um usuário sair, ele perderá instantaneamente o acesso a todos os cofres de chaves na organização.
  • As organizações podem personalizar a autenticação usando as opções no Microsoft Entra ID, como habilitar a autenticação multifator para maior segurança.

Para obter mais informações, consulte Fundamentos de autenticação do Cofre de Chaves.

Visão geral do modelo de acesso

O acesso a um cofre de chaves é controlado através de duas interfaces: o plano de gestão e o plano de dados. O plano de gerenciamento é onde você gerencia o próprio Cofre de Chaves. As operações neste plano incluem a criação e exclusão de cofres de chaves, a recuperação de propriedades do Cofre de Chaves e a atualização de políticas de acesso. O plano de dados é onde você trabalha com os dados armazenados em um cofre de chaves. Pode adicionar, eliminar e modificar chaves, segredos e certificados.

Ambos os planos usam o Microsoft Entra ID para autenticação. Para autorização, o plano de gerenciamento usa o controle de acesso baseado em função do Azure (Azure RBAC) e o plano de dados usa uma política de acesso do Cofre da Chave e o RBAC do Azure para operações do plano de dados do Cofre da Chave.

Para acessar um cofre de chaves em qualquer plano, todos os chamadores (usuários ou aplicativos) devem ter autenticação e autorização adequadas. A autenticação estabelece a identidade do chamador. A autorização determina quais operações o chamador pode executar. A autenticação com o Cofre da Chave funciona em conjunto com o Microsoft Entra ID, que é responsável por autenticar a identidade de qualquer entidade de segurança.

Uma entidade de segurança é um objeto que representa um usuário, grupo, serviço ou aplicativo que está solicitando acesso aos recursos do Azure. O Azure atribui uma ID de objeto exclusiva a cada entidade de segurança.

  • Uma entidade de segurança de usuário identifica um indivíduo que tem um perfil no Microsoft Entra ID.
  • Uma entidade de segurança de grupo identifica um conjunto de usuários criados no Microsoft Entra ID. Quaisquer funções ou permissões atribuídas ao grupo são concedidas a todos os usuários dentro do grupo.
  • Uma entidade de serviço é um tipo de entidade de segurança que identifica um aplicativo ou serviço, ou seja, uma parte do código em vez de um usuário ou grupo. O ID de objeto de uma entidade de serviço é conhecido como seu ID de cliente e age como seu nome de usuário. O segredo ou certificado do cliente da entidade de serviço funciona como sua senha. Muitos Serviços do Azure dão suporte à atribuição de Identidade Gerenciada com gerenciamento automatizado de ID de cliente e certificado. A identidade gerenciada é a opção mais segura e recomendada para autenticação no Azure.

Para obter mais informações sobre autenticação no Cofre da Chave, consulte Autenticar no Cofre da Chave do Azure.

Acesso condicional

O Key Vault fornece suporte para políticas de Acesso Condicional do Microsoft Entra. Usando políticas de Acesso Condicional, você pode aplicar os controles de acesso corretos ao Cofre de Chaves quando necessário para manter sua organização segura e ficar longe do caminho do usuário quando não for necessário.

Para obter mais informações, consulte Visão geral do Acesso Condicional

Acesso privilegiado

A autorização determina quais operações o chamador pode executar. A autorização no Cofre de Chaves usa o controle de acesso baseado em função do Azure (Azure RBAC) no plano de gerenciamento e as políticas de acesso do Azure RBAC ou do Azure Key Vault no plano de dados.

O acesso aos cofres ocorre através de duas interfaces ou planos. Estes planos são o plano de gestão e o plano de dados.

  • O plano de gerenciamento é onde você gerencia o próprio Cofre de Chaves e é a interface usada para criar e excluir cofres. Também pode gerir as políticas de acesso e ler as propriedades dos cofres de chaves.
  • O plano de dados permite que você trabalhe com os dados armazenados em um cofre de chaves. Pode adicionar, eliminar e modificar chaves, segredos e certificados.

Os aplicativos acessam os planos por meio de endpoints. Os controles de acesso para os dois planos funcionam de forma independente. Para conceder a um aplicativo acesso para usar chaves em um cofre de chaves, você concede acesso ao plano de dados usando o RBAC do Azure ou uma política de acesso do Cofre da Chave. Para conceder a um usuário acesso de leitura às propriedades e tags do Cofre da Chave, mas não acesso a dados (chaves, segredos ou certificados), conceda acesso ao plano de gerenciamento com o RBAC do Azure.

A tabela a seguir mostra os pontos de extremidade para os planos de gerenciamento e dados.

Plano de acesso Pontos finais de acesso Operações Mecanismo de controlo de acesso
Plano de gestão Global:
management.azure.com:443

Microsoft Azure operado pela 21Vianet:
management.chinacloudapi.cn:443

Azure US Government:
management.usgovcloudapi.net:443

Azure Alemanha:
management.microsoftazure.de:443
Criar, ler, atualizar e excluir cofres de chaves

Definir políticas de acesso ao Cofre da Chave

Definir tags do Cofre da Chave
RBAC do Azure
Plano de dados Global:
<vault-name>.vault.azure.net:443

Microsoft Azure operado pela 21Vianet:
<vault-name>.vault.azure.cn:443

Azure US Government:
<vault-name>.vault.usgovcloudapi.net:443

Azure Alemanha:
<vault-name>.vault.microsoftazure.de:443
Chaves: encriptar, desencriptar, wrapKey, unwrapKey, assinar, verificar, obter, listar, criar, atualizar, importar, eliminar, recuperar, fazer backup, restaurar, limpar, girar (pré-visualização), getrotationpolicy (pré-visualização), setrotationpolicy (pré-visualização), release(pré-visualização)

Certificados: managecontacts, getissuers, listissuers, setissuers, deleteissuers, manageissuers, get, list, create, import, update, delete, recover, backup, restore, purge

Segredos: obter, listar, definir, excluir, recuperar, backup, restaurar, limpar
Política de acesso ao Cofre da Chave ou RBAC do Azure

Gerenciando o acesso administrativo ao Cofre da Chave

Ao criar um cofre de chaves em um grupo de recursos, você gerencia o acesso usando a ID do Microsoft Entra. Você concede aos usuários ou grupos a capacidade de gerenciar os cofres de chaves em um grupo de recursos. Você pode conceder acesso em um nível de escopo específico atribuindo as funções apropriadas do Azure. Para conceder acesso a um usuário para gerenciar cofres de chaves, atribua uma função predefinida key vault Contributor ao usuário em um escopo específico. Os seguintes níveis de escopo podem ser atribuídos a uma função do Azure:

  • Assinatura: uma função do Azure atribuída no nível de assinatura se aplica a todos os grupos de recursos e recursos dentro dessa assinatura.
  • Grupo de recursos: uma função do Azure atribuída no nível do grupo de recursos aplica-se a todos os recursos desse grupo de recursos.
  • Recurso específico: uma função do Azure atribuída a um recurso específico aplica-se a esse recurso. Nesse caso, o recurso é um cofre de chaves específico.

Existem várias funções predefinidas. Se uma função predefinida não atender às suas necessidades, você pode definir sua própria função. Para obter mais informações, consulte Azure RBAC: Built-in rolesw

Importante

Ao usar o modelo de permissão de Política de Acesso, se um usuário tiver Contributor, Key Vault Contributor ou outra função com Microsoft.KeyVault/vaults/write permissões para um plano de gerenciamento do cofre de chaves, o usuário poderá conceder a si mesmo acesso ao plano de dados definindo uma política de acesso ao Cofre de Chaves. Você deve controlar rigorosamente quem tem Contributor acesso de função aos seus cofres de chaves com o modelo de permissão de Política de Acesso para garantir que apenas pessoas autorizadas possam acessar e gerenciar seus cofres de chaves, chaves, segredos e certificados. Recomenda-se usar o novo modelo de permissão RBAC (Controle de Acesso Baseado em Função) para evitar esse problema. Com o modelo de permissão RBAC, a gestão de permissões está limitada às funções “Proprietário” e “Administrador de Acesso de Utilizador”, o que permite a separação de deveres entre funções para operações de segurança e operações administrativas gerais.

Controlando o acesso aos dados do Key Vault

Você pode controlar o acesso a chaves, certificados e segredos do Cofre da Chave usando o RBAC do Azure ou as políticas de acesso do Cofre da Chave.

Para obter mais informações, consulte,

Registos e monitorização

O registo do Cofre da Chave guarda informações sobre as atividades realizadas no seu cofre. Para obter detalhes completos, consulte Registro em log do Cofre da Chave.

Você pode integrar o Cofre da Chave com a Grade de Eventos para ser notificado quando o status de uma chave, certificado ou segredo armazenado no Cofre de Chaves for alterado. Para obter detalhes, consulte Monitorando o Cofre da Chave com a Grade de Eventos do Azure

Também é importante monitorar a integridade do cofre de chaves, para garantir que o serviço funcione como pretendido. Para saber como fazer isso, consulte Monitoramento e alertas para o Cofre de Chaves do Azure.

Cópia de segurança e recuperação

A proteção de exclusão e limpeza suave do Azure Key Vault permite recuperar cofres e objetos de cofre excluídos. Para obter detalhes completos, consulte Visão geral de exclusão suave do Azure Key Vault.

Você também deve fazer backups regulares do seu cofre ao atualizar/excluir/criar objetos dentro de um cofre.

Próximos passos