Partilhar via


Linha de base de segurança do Azure para Key Vault

Esta linha de base de segurança aplica orientações da versão 1.0 da referência de segurança da cloud da Microsoft ao Key Vault. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis aos Key Vault.

Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página do portal do Microsoft Defender para a Cloud.

Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.

Nota

As funcionalidades não aplicáveis aos Key Vault foram excluídas. Para ver como Key Vault mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro de mapeamento completo da linha de base de segurança Key Vault.

Perfil de segurança

O perfil de segurança resume comportamentos de alto impacto de Key Vault, o que pode resultar em considerações de segurança acrescidas.

Atributo comportamento do serviço Valor
Product Category (Categoria de Produto) Segurança
O cliente pode aceder ao HOST/SO Sem Acesso
O serviço pode ser implementado na rede virtual do cliente Verdadeiro
Armazena o conteúdo do cliente inativo Verdadeiro

Segurança da rede

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.

NS-1: Estabelecer limites de segmentação de rede

Funcionalidades

Integração da Rede Virtual

Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: o Azure Key Vault suporta pontos finais de serviço de rede virtual que lhe permitem restringir o acesso do cofre de chaves a uma rede virtual especificada.

Referência: Segurança de Rede do Azure Key Vault

Suporte do Grupo de Segurança de Rede

Descrição: o tráfego de rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize grupos de segurança de rede (NSG) para restringir ou monitorizar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gestão sejam acedidas a partir de redes não fidedignas). Tenha em atenção que, por predefinição, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Balanceadores de Carga do Azure.

NS-2: Proteger os serviços cloud com controlos de rede

Funcionalidades

Descrição: capacidade de filtragem de IP nativo do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: implemente pontos finais privados para o Azure Key Vault para estabelecer um ponto de acesso privado para os recursos.

Referência: Key Vault Private Link do Azure

Desativar o Acesso à Rede Pública

Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL de IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: desative o acesso à rede pública com as regras de filtragem de IP da firewall do Azure Key Vault.

Referência: segurança de rede do Azure Key Vault

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.KeyVault:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
O Azure Key Vault deve ter a firewall ativada Ative a firewall do cofre de chaves para que o cofre de chaves não esteja acessível por predefinição para quaisquer IPs públicos. Opcionalmente, pode configurar intervalos ip específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security Auditoria, Negar, Desativado 3.2.1

Gestão de identidades

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de identidades.

IM-1: utilizar a identidade centralizada e o sistema de autenticação

Funcionalidades

Azure AD Autenticação Necessária para o Acesso ao Plano de Dados

Descrição: o serviço suporta a utilização de Azure AD autenticação para acesso ao plano de dados. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Autenticação Key Vault do Azure

Métodos de Autenticação Local para Acesso ao Plano de Dados

Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

IM-3: Gerir identidades de aplicações de forma segura e automática

Funcionalidades

Identidades Geridas

Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.

Referência: Autenticação Key Vault do Azure

Principais de Serviço

Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação Adicional: recomenda-se a utilização de identidades geridas em vez de principais de serviço. Quando os principais de serviço têm de ser utilizados, limite a utilização para utilizar cenários de casos em que o acesso não baseado no utilizador é necessário e as identidades geridas não são suportadas, como fluxos de automatização ou integrações de sistemas de terceiros.

Referência: Autenticação Key Vault do Azure

IM-7: Restringir o acesso a recursos com base em condições

Funcionalidades

Acesso Condicional para Plano de Dados

Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: defina as condições e critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de utilização comuns, como bloquear ou conceder acesso a partir de localizações específicas, bloquear o comportamento de início de sessão de risco ou exigir dispositivos geridos pela organização para aplicações específicas.

Referência: acesso condicional do Azure Key Vault

IM-8: Restringir a exposição de credenciais e segredos

Funcionalidades

Integração e Armazenamento do Suporte de Segredos e Credenciais de Serviço no Azure Key Vault

Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: certifique-se de que os segredos e as credenciais são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou de configuração.

Referência: Acerca dos segredos do Azure Key Vault

Acesso privilegiado

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.

PA-1: Separar e limitar utilizadores altamente privilegiados/administrativos

Funcionalidades

Contas de Administração Local

Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

PA-7: Seguir apenas o princípio de administração (privilégio mínimo) suficiente

Funcionalidades

RBAC do Azure para Plano de Dados

Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize o controlo de acesso baseado em funções do Azure (RBAC do Azure) para gerir o acesso a recursos do Azure através de atribuições de funções incorporadas. As funções RBAC do Azure podem ser atribuídas a utilizadores, grupos, principais de serviço e identidades geridas.

Referência: SuporteRBAC do Azure Key Vault

Proteção de dados

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.

DP-3: Encriptar dados confidenciais em trânsito

Funcionalidades

Dados na Encriptação de Trânsito

Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Orientação Adicional: Não são necessárias configurações adicionais, uma vez que esta é gerida pela Plataforma do Azure

Referência: Funcionalidades de segurança do Azure Key Vault

DP-4: Ativar a encriptação de dados inativos por predefinição

Funcionalidades

Encriptação de Dados Inativos Utilizando Chaves de Plataforma

Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: O Azure Key Vault arquivo seguro de segredos e chaves

DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário

Funcionalidades

Encriptação de Dados Inativos com CMK

Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: o Azure Key Vault é onde armazena as chaves para a encriptação de chave gerida pelo cliente (CMK). Tem a opção de utilizar chaves protegidas por software ou chaves protegidas por HSM (módulo de segurança de hardware) para a sua solução CMK.

Nota: para obter detalhes da chave gerida pelo cliente e do HSM, veja: https://techcommunity.microsoft.com/t5/azure-confidential-computing/azure-key-vault-managed-hsm-control-your-data-in-the-cloud/ba-p/3359310

Referência: O Azure Key Vault arquivo seguro de segredos e chaves

DP-6: Utilizar um processo de gestão de chaves segura

Funcionalidades

Gestão de Chaves no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: siga as melhores práticas do Azure Key Vault para gerir de forma segura o seu ciclo de vida de chaves no cofre de chaves. Isto inclui a geração, distribuição, armazenamento, rotação e revogação da chave.

Referência: Gestão de chaves do Azure Key Vault

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.KeyVault:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Key Vault chaves devem ter uma data de expiração As chaves criptográficas devem ter uma data de expiração definida e não ser permanentes. As chaves válidas para sempre fornecem a um potencial atacante mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. Auditoria, Negar, Desativado 1.0.2

DP-7: Utilizar um processo de gestão de certificados seguro

Funcionalidades

Gestão de Certificados no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: siga as melhores práticas do Azure Key Vault para gerir de forma segura o ciclo de vida do certificado no cofre de chaves. Isto inclui a criação/importação da chave, a rotação, a revogação, o armazenamento e a remoção do certificado.

Referência: Gestão de certificados do Azure Key Vault

Microsoft Defender para monitorização da cloud

Azure Policy definições incorporadas – Microsoft.KeyVault:

Name
(portal do Azure)
Description Efeito(s) Versão
(GitHub)
Os certificados devem ter o período de validade máximo especificado Faça a gestão dos seus requisitos de conformidade organizacional ao especificar o período máximo de tempo durante o qual um certificado pode ser válido no cofre de chaves. auditoria, Auditoria, negar, Negar, desativado, Desativado 2.2.1

Gestão de ativos

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.

AM-2: Utilizar apenas serviços aprovados

Funcionalidades

Suporte do Azure Policy

Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize o Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações do seu Key Vault do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura nos recursos do Azure.

Referência: Política de Key Vault do Azure

Deteção de registo e de ameaça

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.

LT-1: Ativar as capacidades de deteção de ameaças

Funcionalidades

Microsoft Defender para Oferta de Serviço/Produto

Descrição: o serviço tem uma solução de Microsoft Defender específica de oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: ative Microsoft Defender para Key Vault, quando receber um alerta de Microsoft Defender para Key Vault, investigue e responda ao alerta.

Referência: Microsoft Defender para Key Vault do Azure

LT-4: Ativar o registo para investigação de segurança

Funcionalidades

Registos de Recursos do Azure

Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: ative os registos de recursos para o cofre de chaves. Os registos de recursos do Azure Key Vault podem registar atividades de operação de chave, como a criação, obtenção e eliminação de chaves.

Referência: Registo de Key Vault do Azure

Cópia de segurança e recuperação

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.

BR-1: Garantir cópias de segurança automatizadas regulares

Funcionalidades

Azure Backup

Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Capacidade de Cópia de Segurança Nativa do Serviço

Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação Adicional: utilize o Azure Key Vault funcionalidade de cópia de segurança nativa para fazer uma cópia de segurança dos segredos, chaves e certificados e garantir que o serviço é recuperável com os dados de cópia de segurança.

Referência: cópia de segurança do Azure Key Vault

Passos seguintes