¿Qué es el Almacén de claves de Azure?What is Azure Key Vault?

Azure Key Vault ayuda a solucionar los problemas siguientes:Azure Key Vault helps solve the following problems:

  • Administración de secretos: Azure Key Vault se puede utilizar para almacenar de forma segura y controlar de manera estricta el acceso a los tokens, contraseñas, certificados, claves de API y otros secretos.Secrets Management - Azure Key Vault can be used to Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets
  • Administración de claves: también se puede usar Azure Key Vault como una solución de administración de claves.Key Management - Azure Key Vault can also be used as a Key Management solution. Azure Key Vault facilita la creación y control de las claves de cifrado utilizadas para cifrar los datos.Azure Key Vault makes it easy to create and control the encryption keys used to encrypt your data.
  • Administración de certificados: Azure Key Vault también es un servicio que le permite aprovisionar, administrar e implementar fácilmente certificados públicos y privados de la Seguridad de la capa de transporte y de la Capa de sockets seguros (TLS/SSL) para su uso con Azure y sus recursos internos conectados.Certificate Management - Azure Key Vault is also a service that lets you easily provision, manage, and deploy public and private Transport Layer Security/Secure Sockets Layer (TLS/SSL) certificates for use with Azure and your internal connected resources.
  • Almacenamiento de secretos con el respaldo de módulos de Hardware Security: las claves y secretos se pueden proteger mediante software o mediante HSM validados por FIPS 140-2 de nivel 2Store secrets backed by Hardware Security Modules - The secrets and keys can be protected either by software or FIPS 140-2 Level 2 validated HSMs

Motivos para usar Azure Key VaultWhy use Azure Key Vault?

Centralización de secretos de aplicaciónCentralize application secrets

La centralización del almacenamiento de los secretos de aplicación le permite controlar su distribución.Centralizing storage of application secrets in Azure Key Vault allows you to control their distribution. Key Vault reduce en gran medida las posibilidades de que se puedan filtrar por accidente los secretos.Key Vault greatly reduces the chances that secrets may be accidentally leaked. Cuando usan Key Vault, los desarrolladores de aplicaciones ya no tienen que almacenar la información de seguridad en su aplicación.When using Key Vault, application developers no longer need to store security information in their application. No tener que almacenar información de seguridad en las aplicaciones elimina la necesidad de que esta información sea parte del código.Not having to store security information in applications eliminates the need to make this information part of the code. Por ejemplo, puede que una aplicación necesite conectarse a una base de datos.For example, an application may need to connect to a database. En lugar de almacenar la cadena de conexión en el código de la aplicación, puede almacenarla de forma segura en Key Vault.Instead of storing the connection string in the app's code, you can store it securely in Key Vault.

Las aplicaciones pueden acceder de manera protegida a la información que necesitan a través de URI.Your applications can securely access the information they need by using URIs. Estos URI permiten que las aplicaciones recuperen versiones específicas de un secreto.These URIs allow the applications to retrieve specific versions of a secret. No hay ninguna necesidad de escribir código personalizado para proteger información secreta almacenada en Key Vault.There is no need to write custom code to protect any of the secret information stored in Key Vault.

Almacenamiento seguro de secretos y clavesSecurely store secrets and keys

Los secretos y las claves se protegen mediante Azure, para lo que se usan algoritmos estándar del sector, longitudes de clave y módulos de seguridad de hardware (HSM).Secrets and keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs). Los módulos de seguridad de hardware se validan mediante los Estándares federales de procesamiento de información (FIPS) 140-2 de nivel 2.The HSMs used are Federal Information Processing Standards (FIPS) 140-2 Level 2 validated.

El acceso a un almacén de claves requiere una autorización y autenticación correctas antes de que un autor de llamada (usuario o aplicación) pueda obtener acceso.Access to a key vault requires proper authentication and authorization before a caller (user or application) can get access. La autenticación establece la identidad del autor de la llamada, mientras que la autorización determina las operaciones que puede realizar.Authentication establishes the identity of the caller, while authorization determines the operations that they are allowed to perform.

La autenticación se realiza a través de Azure Active Directory.Authentication is done via Azure Active Directory. La autorización puede realizarse mediante el control de acceso basado en rol (RBAC) o la directiva de acceso de Key Vault.Authorization may be done via role-based access control (RBAC) or Key Vault access policy. Se usa el control de acceso basado en rol cuando se trata de la administración de los almacenes y la directiva de acceso de Key Vault cuando se intenta acceder a los datos almacenados en un almacén.RBAC is used when dealing with the management of the vaults and key vault access policy is used when attempting to access data stored in a vault.

Las instancias de Azure Key Vault se pueden proteger mediante software o con módulos de seguridad de hardware (HSM).Azure Key Vaults may be either software- or hardware-HSM protected. En aquellos casos en los que necesita obtener seguridad adicional, puede importar o generar claves en módulos de seguridad de hardware (HSM) que no se salen nunca del límite de los HSM.For situations where you require added assurance you can import or generate keys in hardware security modules (HSMs) that never leave the HSM boundary. Microsoft utiliza los módulos de seguridad de hardware de nCipher.Microsoft uses nCipher hardware security modules. Puede usar las herramientas de nCipher para mover una clave desde el módulo de seguridad de hardware a Azure Key Vault.You can use nCipher tools to move a key from your HSM to Azure Key Vault.

Además, Azure Key Vault está diseñado de modo que Microsoft no pueda ver ni extraer sus datos.Finally, Azure Key Vault is designed so that Microsoft does not see or extract your data.

Supervisión del acceso y usoMonitor access and use

Una vez que ha creado un par de almacenes de claves, querrá supervisar cómo y cuándo se accede a sus claves y secretos.Once you have created a couple of Key Vaults, you will want to monitor how and when your keys and secrets are being accessed. Para supervisar la actividad, puede habilitar el registro de los almacenes.You can monitor activity by enabling logging for your vaults. Puede configurar Azure Key Vault para:You can configure Azure Key Vault to:

  • Archivar en una cuenta de almacenamiento.Archive to a storage account.
  • Transmitir a un centro de eventos.Stream to an event hub.
  • Envíe los registros a los registros de Azure Monitor.Send the logs to Azure Monitor logs.

Tiene el control sobre los registros y puede protegerlos de forma segura restringiendo el acceso y, además, puede eliminar los registros que ya no necesita.You have control over your logs and you may secure them by restricting access and you may also delete logs that you no longer need.

Administración simplificada de secretos de aplicaciónSimplified administration of application secrets

Al almacenar datos importantes, debe realizar varios pasos.When storing valuable data, you must take several steps. Se debe proteger la información de seguridad, esta debe seguir un ciclo de vida y debe tener alta disponibilidad.Security information must be secured, it must follow a life cycle, and it must be highly available. Azure Key Vault simplifica el proceso de cumplimiento de estos requisitos mediante:Azure Key Vault simplifies the process of meeting these requirements by:

  • La eliminación de la necesidad de poseer conocimientos internos sobre los módulos de Hardware Security.Removing the need for in-house knowledge of Hardware Security Modules.
  • El escalado vertical en un breve plazo de tiempo para adaptarse a los picos de uso de la organización.Scaling up on short notice to meet your organization’s usage spikes.
  • La replicación del contenido de una instancia de Key Vault de una región en una región secundaria.Replicating the contents of your Key Vault within a region and to a secondary region. La replicación de datos garantiza la alta disponibilidad y elimina la necesidad de intervención del administrador para desencadenar la conmutación por error.Data replication ensures high availability and takes away the need of any action from the administrator to trigger the failover.
  • La disposición de opciones estándar de administración de Azure a través del portal, la CLI de Azure y PowerShell.Providing standard Azure administration options via the portal, Azure CLI and PowerShell.
  • La automatización de determinadas tareas de los certificados que adquiere de entidades de certificación públicas, como la inscripción y la renovación.Automating certain tasks on certificates that you purchase from Public CAs, such as enrollment and renewal.

Además, Azure Key Vault le permite segregar los secretos de aplicación.In addition, Azure Key Vaults allow you to segregate application secrets. Las aplicaciones solo pueden acceder al almacén para el que tengan permiso, y se puede limitar el acceso para realizar únicamente operaciones específicas.Applications may access only the vault that they are allowed to access, and they can be limited to only perform specific operations. Puede crear una instancia de Azure Key Vault por aplicación y restringir los secretos almacenados en un almacén de claves a una aplicación y a un equipo de desarrolladores concretos.You can create an Azure Key Vault per application and restrict the secrets stored in a Key Vault to a specific application and team of developers.

Integración con otros servicios de AzureIntegrate with other Azure services

Como almacén seguro de Azure, Key Vault se ha usado para simplificar escenarios como:As a secure store in Azure, Key Vault has been used to simplify scenarios like:

Key Vault se puede integrar con cuentas de almacenamiento e instancias de Event Hubs y Log Analytics.Key Vault itself can integrate with storage accounts, event hubs, and log analytics.

Pasos siguientesNext steps