Segurança do Azure Key Vault

O Azure Key Vault protege chaves criptográficas, certificados (e as chaves privadas associadas aos certificados) e segredos (como cadeias de conexão e senhas) na nuvem. Ao armazenar dados confidenciais e críticos para os negócios, no entanto, você deve tomar medidas para maximizar a segurança de seus cofres e dos dados armazenados neles.

Este artigo fornece uma visão geral dos recursos de segurança e das práticas recomendadas para o Cofre da Chave do Azure.

Nota

Para obter uma lista abrangente das recomendações de segurança do Cofre da Chave do Azure, consulte a Linha de base de segurança do Cofre da Chave do Azure.

Segurança da rede

Você pode reduzir a exposição de seus cofres especificando quais endereços IP têm acesso a eles. Os pontos de extremidade do serviço de rede virtual para o Cofre da Chave do Azure permitem restringir o acesso a uma rede virtual especificada. Os pontos de extremidade também permitem restringir o acesso a uma lista de intervalos de endereços IPv4 (protocolo Internet versão 4). Qualquer usuário que se conecte ao seu cofre de chaves de fora dessas fontes tem acesso negado. Para obter detalhes completos, consulte Pontos de extremidade de serviço de rede virtual para o Azure Key Vault

Depois que as regras de firewall estiverem em vigor, os usuários só poderão ler dados do Cofre de Chaves quando suas solicitações tiverem origem em redes virtuais permitidas ou intervalos de endereços IPv4. Isso também se aplica ao acesso ao Cofre da Chave a partir do portal do Azure. Embora os usuários possam navegar até um cofre de chaves no portal do Azure, talvez não consigam listar chaves, segredos ou certificados se a máquina cliente não estiver na lista de permissões. Para obter as etapas de implementação, consulte Configurar firewalls e redes virtuais do Azure Key Vault

O Serviço de Link Privado do Azure permite que você acesse o Cofre da Chave do Azure e os serviços de cliente/parceiro hospedados pelo Azure em um Ponto de Extremidade Privado em sua rede virtual. Um Ponto de Extremidade Privado do Azure é uma interface de rede que o conecta de forma privada e segura a um serviço desenvolvido pelo Azure Private Link. O ponto final privado utiliza um endereço IP privado da VNet, para que possa aceder ao serviço de forma eficaz através da VNet. Todo o tráfego para o serviço pode ser encaminhado através do ponto final privado, pelo que não são necessários gateways, dispositivos NAT, ligações ExpressRoute ou VPN nem endereços IP públicos. O tráfego entre a rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição da Internet pública. Você pode se conectar a uma instância de um recurso do Azure, oferecendo o mais alto nível de granularidade no controle de acesso. Para obter as etapas de implementação, consulte Integrar o Cofre da Chave com o Azure Private Link

TLS e HTTPS

• O front-end do Cofre da Chave (plano de dados) é um servidor multilocatário. Isso significa que cofres de chaves de clientes diferentes podem compartilhar o mesmo endereço IP público. Para obter isolamento, cada solicitação HTTP é autenticada e autorizada independentemente de outras solicitações.
• O protocolo HTTPS permite que o cliente participe da negociação TLS. Os clientes podem impor a versão do TLS e, sempre que um cliente fizer isso, toda a conexão usará a proteção de nível correspondente. O Key Vault suporta as versões do protocolo TLS 1.2 e 1.3.

Nota

Você pode monitorar a versão TLS usada pelos clientes monitorando os logs do Key Vault com uma consulta Kusto de exemplo aqui.

Opções de autenticação do Cofre da Chave

Ao criar um cofre de chaves numa subscrição do Azure, este é automaticamente associado ao inquilino Microsoft Entra da subscrição. Todos os chamadores em ambos os planos devem se registrar neste locatário e autenticar-se para acessar o cofre de chaves. Em ambos os casos, os aplicativos podem acessar o Key Vault de três maneiras:

• Somente aplicativo: o aplicativo representa uma entidade de serviço ou identidade gerenciada. Essa identidade é o cenário mais comum para aplicativos que precisam acessar periodicamente certificados, chaves ou segredos do cofre de chaves. Para que este cenário funcione, o objectId da aplicação deve ser especificado na política de acesso e o applicationIdnão deve ser especificado ou deve ser null.
• Somente usuário: o usuário acessa o cofre de chaves de qualquer aplicativo registrado no locatário. Exemplos desse tipo de acesso incluem o Azure PowerShell e o portal do Azure. Para que este cenário funcione, o objectId do utilizador deve ser especificado na política de acesso e o applicationId ou não deve ser especificado, ou deve ser .
• Application-plus-user (às vezes referido como identidade composta): O utilizador é obrigado a aceder ao cofre de chaves a partir de uma aplicação específica e a aplicação deve usar o fluxo de autenticação em nome do utilizador (OBO) para o representar. Para que este cenário funcione, tanto applicationId quanto objectId devem ser especificados na política de acesso. O applicationId identifica o aplicativo necessário e o objectId identifica o usuário. Atualmente, essa opção não está disponível para o plano de dados Azure RBAC.

Em todos os tipos de acesso, o aplicativo é autenticado com o Microsoft Entra ID. O aplicativo usa qualquer método de autenticação suportado com base no tipo de aplicativo. O aplicativo adquire um token para um recurso no plano para conceder acesso. O recurso é um ponto de extremidade no plano de gerenciamento ou de dados, dependendo do ambiente do Azure. O aplicativo usa o token e envia uma solicitação de API REST para o Cofre de Chaves. Para saber mais, revise todo o fluxo de autenticação.

O modelo de um único mecanismo de autenticação para ambos os planos tem vários benefícios:

• As organizações podem controlar o acesso centralmente a todos os cofres de chaves em sua organização.
• Se um usuário sair, ele perderá instantaneamente o acesso a todos os cofres de chaves na organização.
• As organizações podem personalizar a autenticação usando as opções no Microsoft Entra ID, como habilitar a autenticação multifator para maior segurança.

Para obter mais informações, consulte Fundamentos de autenticação do Azure Key Vault.

Visão geral do modelo de acesso

O acesso a um cofre de chaves é controlado por meio de duas interfaces: o plano de controlo e o plano de dados. O plano de controle é onde você gerencia o próprio Cofre de Chaves. As operações neste plano incluem a criação e exclusão de cofres de chaves, a recuperação de propriedades do Cofre de Chaves e a atualização de políticas de acesso. O plano de dados é onde você trabalha com os dados armazenados em um cofre de chaves. Pode adicionar, eliminar e modificar chaves, segredos e certificados.

Ambos os planos usam o Microsoft Entra ID para autenticação. Para autorização, o plano de controle usa o controle de acesso baseado em função do Azure (Azure RBAC) e o plano de dados usa uma política de acesso do Cofre da Chave e o RBAC do Azure para operações do plano de dados do Cofre da Chave.

Para acessar um cofre de chaves em qualquer plano, todos os chamadores (usuários ou aplicativos) devem ter autenticação e autorização adequadas. A autenticação estabelece a identidade do chamador. A autorização determina quais operações o chamador pode executar. A autenticação com o Azure Key Vault funciona em conjunto com o Microsoft Entra ID, que é responsável por autenticar a identidade de qualquer principal de segurança.

Uma entidade de segurança é um objeto que representa um utilizador, grupo, serviço ou aplicação que está a solicitar acesso aos recursos da Azure. O Azure atribui um identificador de objeto exclusivo a cada entidade de segurança.

• Um principal de segurança de utilizador identifica uma pessoa que tem um perfil no Microsoft Entra ID.
• Uma principal de segurança de grupo identifica um conjunto de utilizadores criados no Microsoft Entra ID. Quaisquer funções ou permissões atribuídas ao grupo são concedidas a todos os usuários dentro do grupo.
• Uma entidade de serviço é um tipo de entidade de segurança que identifica um aplicativo ou serviço, ou seja, uma parte do código em vez de um usuário ou grupo. O ID de objeto de uma entidade de serviço é conhecido como seu ID de cliente e age como seu nome de usuário. O segredo do cliente ou certificado da entidade de serviço funciona como sua senha. Muitos Serviços do Azure dão suporte à atribuição de Identidade Gerenciada com gerenciamento automatizado de ID de cliente e certificado. A identidade gerenciada é a opção mais segura e recomendada para autenticação no Azure.

Para obter mais informações sobre autenticação no Cofre da Chave, consulte Autenticar no Cofre da Chave do Azure.

Acesso condicional

O Key Vault fornece suporte para políticas de Acesso Condicional do Microsoft Entra. Usando políticas de Acesso Condicional, você pode aplicar os controles de acesso corretos ao Cofre de Chaves quando necessário para manter sua organização segura e ficar longe do caminho do usuário quando não for necessário.

Para obter mais informações, consulte Visão geral do Acesso Condicional

Acesso privilegiado

A autorização determina quais operações o chamador pode executar. A autorização no Azure Key Vault usa o controle de acesso baseado em função do Azure (Azure RBAC) no plano de controlo e, no plano de dados, usa as políticas de acesso do Azure RBAC ou do Azure Key Vault.

O acesso aos cofres faz-se por duas interfaces ou planos. Estes planos são o plano de controlo e o plano de dados.

• O painel de controlo é onde se gere o próprio Cofre da Chave e é a interface usada para criar e excluir cofres. Pode também ler as propriedades dos cofres de chaves e gerir as políticas de acesso.
• O plano de dados permite-lhe trabalhar com os dados armazenados num cofre de chaves. Pode adicionar, eliminar e modificar chaves, segredos e certificados.

Os aplicativos acessam os planos por meio de endpoints. Os controles de acesso para os dois planos funcionam de forma independente. Para conceder a uma aplicação acesso para utilizar chaves em um cofre de chaves, deve conceder acesso ao plano de dados usando o RBAC do Azure ou uma política de acesso do Azure Key Vault. Para conceder a um usuário acesso de leitura às propriedades e tags do Cofre da Chave, mas não acesso a dados (chaves, segredos ou certificados), conceda acesso ao plano de controle com o RBAC do Azure.

Pontos finais para planos de controlo e de dados

A tabela a seguir mostra os endpoints para os planos de controlo e dados.

Plano de acesso	Pontos de acesso	Operações	Mecanismo de controlo de acesso
Plano de controlo	Global: management.azure.com:443 Microsoft Azure operado pela 21Vianet: management.chinacloudapi.cn:443 Azure US Government: management.usgovcloudapi.net:443	Criar, ler, atualizar e excluir cofres de chaves Definir políticas de acesso ao Cofre da Chave Definir tags do Cofre da Chave	RBAC do Azure
Plano de dados	Global: <nome do cofre>.vault.azure.net:443 Microsoft Azure operado pela 21Vianet: <vault-name.vault.azure.cn:443> Azure US Government: <vault-name>.vault.usgovcloudapi.net:443	Chaves: encriptar, desencriptar, wrapKey, unwrapKey, assinar, verificar, obter, listar, criar, atualizar, importar, eliminar, recuperar, fazer cópia de segurança, restaurar, limpar, girar (pré-visualização), getrotationpolicy (pré-visualização), setrotationpolicy (pré-visualização), release (pré-visualização) Certificados: gerenciacontatos, obtém_emitentes, lista_emitentes, define_emitentes, apaga_emitentes, gerencia_emitentes, obter, listar, criar, importar, atualizar, apagar, recuperar, fazer_backup, restaurar, expurgar Segredos: obter, listar, definir, excluir, recuperar, backup, restaurar, limpar	Política de acesso ao Cofre da Chave ou RBAC do Azure

Gerenciando o acesso administrativo ao Cofre da Chave

Ao criar um cofre de chaves em um grupo de recursos, você gerencia o acesso usando a ID do Microsoft Entra. Você concede aos usuários ou grupos a capacidade de gerenciar os cofres de chaves em um grupo de recursos. Você pode conceder acesso em um nível de escopo específico atribuindo as funções apropriadas do Azure. Para conceder acesso a um usuário para gerenciar cofres de chaves, atribua uma função predefinida key vault Contributor ao usuário em um escopo específico. Os seguintes níveis de escopo podem ser atribuídos a uma função do Azure:

• Assinatura: uma função do Azure atribuída no nível de assinatura se aplica a todos os grupos de recursos e recursos dentro dessa assinatura.
• Grupo de recursos: uma função do Azure atribuída no nível do grupo de recursos aplica-se a todos os recursos desse grupo de recursos.
• Recurso específico: uma função do Azure atribuída a um recurso específico aplica-se a esse recurso. Nesse caso, o recurso é um cofre de chaves específico.

Existem várias funções predefinidas. Se uma função predefinida não atender às suas necessidades, você pode definir sua própria função. Para obter mais informações, consulte Azure RBAC: funções incorporadas.

Importante

Ao usar o modelo de permissão de Política de Acesso, um utilizador com o Contributor, Key Vault Contributor, ou outra função qualquer que inclua Microsoft.KeyVault/vaults/write permissões para o plano de gestão do Cofre de Chaves pode conceder a si mesmo acesso ao plano de dados ao definir uma política de acesso ao Cofre de Chaves. Para impedir o acesso não autorizado e o gerenciamento de seus cofres de chaves, chaves, segredos e certificados, é essencial limitar o acesso da função de Colaborador aos cofres de chaves no modelo de permissão da Política de Acesso. Para reduzir esse risco, recomendamos que você use o modelo de permissão RBAC (Controle de Acesso Baseado em Função), que restringe o gerenciamento de permissões às funções 'Proprietário' e 'Administrador de Acesso de Usuário', permitindo uma separação clara entre operações de segurança e tarefas administrativas. Consulte o Guia RBAC do Cofre de Chaves e O que é o Azure RBAC? para obter mais informações.

Controlando o acesso aos dados do Key Vault

Você pode controlar o acesso a chaves, certificados e segredos do Cofre da Chave usando o RBAC do Azure ou as políticas de acesso do Cofre da Chave.

Para obter mais informações, consulte,

• Azure RBAC para operações no plano de dados do Key Vault.
• Política de acesso ao Cofre da Chave

Registos e monitorização

A gravação de logs do Cofre de Chaves guarda informações sobre as atividades realizadas no seu cofre. Para obter detalhes completos, consulte registo de logs do Key Vault.

Você pode integrar o Cofre da Chave com a Grade de Eventos para ser notificado quando o status de uma chave, certificado ou segredo armazenado no Cofre de Chaves for alterado. Para obter detalhes, consulte Monitorando o Cofre da Chave com a Grade de Eventos do Azure

Também é importante monitorizar a saúde do repositório de chaves, para assegurar que o serviço funcione como pretendido. Para saber como fazer isso, consulte Monitoramento e alertas para o Cofre de Chaves do Azure.

Cópia de segurança e recuperação

A proteção de exclusão e limpeza suave do Azure Key Vault permite recuperar cofres e objetos de cofre excluídos. Para obter detalhes completos, consulte Visão geral de exclusão suave do Azure Key Vault.

Você também deve fazer backups regulares do seu cofre ao atualizar/excluir/criar objetos dentro de um cofre.

Próximos passos

• Linha de base de segurança do Azure Key Vault
• Práticas recomendadas do Azure Key Vault
• Endpoints de serviço de rede virtual para o Azure Key Vault
• Azure RBAC: funções integradas