Melhores práticas para a gestão de segredos no Key Vault
O Azure Key Vault permite-lhe armazenar de forma segura credenciais de serviço ou aplicação, como palavras-passe e chaves de acesso como segredos. Todos os segredos no cofre de chaves são encriptados com uma chave de software. Quando utiliza Key Vault, já não precisa de armazenar informações de segurança nas suas aplicações. Não ter de armazenar informações de segurança em aplicações elimina a necessidade de fazer com que estas informações façam parte do código.
Exemplos de segredos que devem ser armazenados no Key Vault:
- Segredos da aplicação cliente
- Cadeias de ligação
- Palavras-passe
- Chaves de acesso (Cache de Redis, Hubs de Eventos do Azure, Azure Cosmos DB)
- Chaves SSH
Quaisquer outras informações confidenciais, como endereços IP, nomes de serviço e outras definições de configuração, devem ser armazenadas em Azure App Configuration e não em Key Vault.
Cada cofre de chaves individual define limites de segurança para segredos. Para um único cofre de chaves por aplicação, por região, por ambiente, recomendamos que forneça isolamento granular de segredos para uma aplicação.
Para obter mais informações sobre as melhores práticas para Key Vault, veja Melhores práticas para utilizar Key Vault.
Configuração e armazenamento
Armazene as informações de credenciais necessárias para aceder à base de dados ou ao serviço em valor secreto. No caso de credenciais compostas, como nome de utilizador/palavra-passe, podem ser armazenadas como uma cadeia de ligação ou objeto JSON. Outras informações necessárias para a gestão devem ser armazenadas em etiquetas, ou seja, na configuração de rotação.
Para obter mais informações sobre segredos, veja Acerca dos segredos do Azure Key Vault.
Rotação de segredos
Os segredos são muitas vezes armazenados na memória da aplicação como variáveis de ambiente ou definições de configuração para todo o ciclo de vida da aplicação, o que os torna sensíveis a exposição indesejada. Como os segredos são sensíveis a fugas ou exposição, é importante rodá-los com frequência, pelo menos a cada 60 dias.
Para obter mais informações sobre o processo de rotação de segredos, veja Automatizar a rotação de um segredo para recursos com dois conjuntos de credenciais de autenticação.
Isolamento de acesso e rede
Pode reduzir a exposição dos cofres ao especificar que endereços IP têm acesso aos mesmos. Configure a firewall para permitir que apenas aplicações e serviços relacionados acedam a segredos no cofre para reduzir a capacidade de os atacantes acederem a segredos.
Para obter mais informações sobre a segurança de rede, veja Configurar as definições de rede do Azure Key Vault.
Além disso, as aplicações devem seguir o acesso com menos privilégios ao terem apenas acesso à leitura de segredos. O acesso a segredos pode ser controlado com políticas de acesso ou com o controlo de acesso baseado em funções do Azure.
Para obter mais informações sobre o controlo de acesso no Azure Key Vault, veja:
- Fornecer acesso a chaves Key Vault, certificados e segredos com o controlo de acesso baseado em funções do Azure
- Atribuir uma política de acesso do Key Vault
Limites de serviço e colocação em cache
Key Vault foi originalmente criada com limites de limitação especificados nos limites de serviço do Azure Key Vault. Para maximizar as taxas de débito, eis duas melhores práticas recomendadas:
- Coloque segredos em cache na sua aplicação durante, pelo menos, oito horas.
- Implemente a lógica de repetição de trás exponencial para processar cenários em que os limites de serviço são excedidos.
Para obter mais informações sobre a orientação de limitação, veja Orientações de limitação do Azure Key Vault.
Monitorização
Para monitorizar o acesso aos seus segredos e ao respetivo ciclo de vida, ative Key Vault registo. Utilize o Azure Monitor para monitorizar todas as atividades de segredos em todos os cofres num único local. Em alternativa, utilize Azure Event Grid para monitorizar o ciclo de vida dos segredos, uma vez que tem uma integração fácil com o Azure Logic Apps e Funções do Azure.
Para obter mais informações, consulte:
- Azure Key Vault como origem do Event Grid
- Registo de Key Vault do Azure
- Monitorização e alertas do Azure Key Vault
Proteção contra cópias de segurança e remoção
Ative a proteção contra remoção para proteger contra a eliminação maliciosa ou acidental dos segredos. Em cenários em que a proteção contra remoção não é uma opção possível, recomendamos a cópia de segurança de segredos, que não podem ser recriados a partir de outras origens.