Procedimientos recomendados para usar Azure Key Vault

Azure Key Vault protege claves de cifrado y secretos como certificados, cadenas de conexión y contraseñas. Este artículo le ayuda a optimizar el uso de los almacenes de claves.

Uso de instancias de Key Vault independientes

Nuestra recomendación es usar un almacén por aplicación, entorno (desarrollo, preproducción y producción) y región. Esto le ayuda a no compartir secretos entre entornos y regiones. También reducirá la amenaza en caso de una infracción.

Motivos para recomendar almacenes de claves independientes

Los almacenes de claves definen los límites de seguridad para los secretos almacenados. La agrupación de secretos en el mismo almacén aumenta el radio del impacto de un evento de seguridad, ya que los ataques podrían tener acceso a información confidencial. Para reducir esta posibilidad, tenga en cuenta a qué información confidencial debería tener acceso una aplicación específica y, después, separe los almacenes de claves en función de esta delineación. La separación de almacenes de claves por aplicación es el límite más común. Sin embargo, los límites de seguridad pueden ser más específicos para aplicaciones grandes, por ejemplo, por grupo de servicios relacionados.

Controlar el acceso al almacén

Las claves de cifrado y secretos como certificados, cadenas de conexión y contraseñas son confidenciales y críticos para la empresa. Debe proteger el acceso a los almacenes de claves permitiendo el acceso unicamente a aplicaciones y usuarios autorizados. Las características de seguridad de Azure Key Vault proporcionan información general sobre el modelo de acceso de Key Vault. Explica la autenticación y la autorización. También describe cómo proteger el acceso a los almacenes de claves.

Estas son algunas sugerencias para controlar el acceso al almacén:

• Bloquee el acceso a su suscripción, grupo de recursos y almacenes de claves (control de acceso basado en roles (RBAC)).
• Cree directivas de acceso para cada almacén.
• Use el principio de acceso con privilegios mínimos para conceder acceso.
• Active el firewall y los puntos de conexión de servicio de red virtual.

Backup

Asegúrese de hacer copias de seguridad periódicas del almacén. Las copias de seguridad deben realizarse al actualizar, eliminar o crear objetos en el almacén.

Comandos de copia de seguridad de Azure PowerShell

• Copia de seguridad de certificado
• Copia de seguridad de clave
• Copia de seguridad de secreto

Comandos de copia de seguridad de la CLI de Azure

• Copia de seguridad de certificado
• Copia de seguridad de clave
• Copia de seguridad de secreto

Active el registro.

Active el registro en el almacén. De igual modo, configure alertas.

Activar las opciones de recuperación

• Active Eliminación temporal.
• Active la protección de purgas si quiere tener protección frente a posibles eliminaciones forzadas de secretos o del almacén, incluso con la eliminación temporal activada.

Más información

• Procedimientos recomendados para la administración de secretos en Key Vault