Procedimientos recomendados para la administración de secretos en Key Vault
Azure Key Vault permite almacenar de forma segura credenciales de servicio o de aplicación como contraseñas y claves de acceso como secretos. Todos los secretos del almacén de claves se cifran con una clave de software. Cuando se usa Key Vault, ya no es necesario almacenar información de seguridad en las aplicaciones. No tener que almacenar información de seguridad en las aplicaciones elimina la necesidad de que esta información sea parte del código.
Ejemplos de secretos que se deben almacenar en Key Vault:
- Secretos de aplicación cliente
- Cadenas de conexión
- Contraseñas
- Claves de acceso (Redis Cache, Azure Event Hubs, Azure Cosmos DB)
- Claves SSH
Cualquier otra información confidencial, como las direcciones IP, los nombres de servicio y otras opciones de configuración, debe almacenarse en Azure App Configuration en lugar de en Key Vault.
Cada almacén de claves individual define los límites de seguridad de los secretos. En el caso de un único almacén de claves por aplicación, por región y por entorno, se recomienda proporcionar aislamiento granular de secretos en la aplicación.
Para más información sobre los procedimientos recomendados para Key Vault, consulte Procedimientos recomendados para utilizar Key Vault.
Configuración y almacenamiento
Almacene la información de credenciales necesaria para acceder a la base de datos o al servicio en un valor secreto. En el caso de credenciales compuestas como nombre de usuario y contraseña, se puede almacenar como una cadena de conexión o un objeto JSON. Otra información necesaria para la administración debe almacenarse en etiquetas, por ejemplo decir, configuración de rotación.
Para más información sobre los secretos, consulte Acerca de los secretos de Azure Key Vault.
Cambio de secretos
Los secretos se almacenan a menudo en la memoria de la aplicación como variables de entorno o valores de configuración durante todo el ciclo de vida de la aplicación, lo que los hace vulnerables a una exposición no deseada. Dado que los secretos son susceptibles a la pérdida de datos o a la exposición, es importante rotarlos a menudo, como mínimo cada 60 días.
Para más información sobre el proceso de rotación de secretos, consulte Automatización de la rotación de un secreto para recursos que tienen dos conjuntos de credenciales de autenticación.
Acceso y aislamiento de red
Puede reducir la exposición de los almacenes si especifica las direcciones IP que tienen acceso a ellos. Configure el firewall para permitir que solo la aplicación y los servicios relacionados puedan acceder a los secretos del almacén, a fin de reducir la posibilidad de que los atacantes puedan acceder también.
Para más información sobre la seguridad de red, consulte Configuración de las redes de Azure Key Vault.
Asimismo, las aplicaciones deben seguir el acceso con privilegios mínimos, con acceso solo a la lectura de secretos. El acceso a los secretos se puede controlar con directivas de acceso o con el control de acceso basado en rol de Azure.
Para obtener más información sobre el control de acceso en Azure Key Vault, consulte los documentos siguientes:
- Acceso a las claves, los certificados y los secretos de Key Vault con un control de acceso basado en rol de Azure
- Asignación de una directiva de acceso de Key Vault
Límites del servicio y almacenamiento en caché
Key Vault se creó originalmente con los límites especificados en Límites del servicio Azure Key Vault. Para maximizar las tasas de rendimiento, estos son dos procedimientos recomendados:
- Almacenar en caché los secretos de la aplicación durante al menos ocho horas.
- Implementar la lógica de reintento de retroceso exponencial para controlar los escenarios en los que se superan los límites del servicio.
Para más información sobre la guía de limitaciones, consulte Guía de las limitaciones de Azure Key Vault.
Supervisión
Para supervisar el acceso a los secretos y su ciclo de vida, active el registro de Key Vault. Use Azure Monitor para supervisar todas las actividades de secretos de todos los almacenes en un solo lugar. También puede usar Azure Event Grid para supervisar el ciclo de vida de los secretos, ya que se integra fácilmente con Azure Logic Apps y Azure Functions.
Para más información, consulte:
- Azure Key Vault como origen de Event Grid
- Registro de Azure Key Vault
- Supervisión y alertas de Azure Key Vault
Copia de seguridad y protección de purga
Active la protección de purga para protegerse contra la eliminación malintencionada o accidental de los secretos. En escenarios en los que la protección de purga no es una opción posible, se recomiendan secretos de copia de seguridad, que no se pueden volver a crear desde otros orígenes.