Línea de base de seguridad de Azure para Key Vault

Esta base de referencia de seguridad aplica una guía de la versión 3.0 de Azure Security Benchmark a Key Vault. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por controles de seguridad definidos por Azure Security Benchmark y las directrices relacionadas aplicables a Key Vault.

Puede supervisar esta línea de base de seguridad y sus recomendaciones en las que hay Azure Policy definiciones enumeradas mediante Microsoft Defender for Cloud, en la sección Cumplimiento normativo. Cada sección de control incluye las definiciones de Azure Policy pertinentes para ayudar a medir el cumplimiento de este producto con los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota

Se han excluido las características no aplicables a Key Vault. Para ver cómo Key Vault se asigna por completo a Azure Security Benchmark, consulte el archivo completo de asignación de base de referencia de seguridad de Key Vault.

Perfil de seguridad

El perfil de seguridad resume los comportamientos de alto impacto de Key Vault, lo que puede dar lugar a mayores consideraciones de seguridad.

Atributo de comportamiento del servicio Valor
Categoría de productos Seguridad
El cliente puede acceder a HOST/OS. Sin acceso
El servicio se puede implementar en la red virtual del cliente. True
Almacena contenido de cliente en reposo True

Seguridad de las redes

Para obtener más información, consulte Azure Security Benchmark: Seguridad de redes.

NS-1: Establecimiento de límites de segmentación de red

Características

Integración de Virtual Network

Descripción: el servicio admite la implementación en el Virtual Network privado (VNet) del cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: Azure Key Vault admite puntos de conexión de servicio de red virtual que permiten restringir el acceso del almacén de claves a una red virtual especificada.

Referencia: Seguridad de red de Azure Key Vault

Compatibilidad con grupos de seguridad de red

Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de seguridad de red en sus subredes. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use grupos de seguridad de red (NSG) para restringir o supervisar el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Cree reglas de NSG para restringir los puertos abiertos del servicio (por ejemplo, impedir que se acceda a los puertos de administración desde redes que no son de confianza). Tenga en cuenta que, de forma predeterminada, los grupos de seguridad de red deniegan todo el tráfico entrante, pero permiten el tráfico desde la red virtual y Azure Load Balancers.

NS-2: Servicios en la nube seguros con controles de red

Características

Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red (no debe confundirse con el grupo de seguridad de red o Azure Firewall). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: implemente puntos de conexión privados para Azure Key Vault para establecer un punto de acceso privado para los recursos.

Referencia: Azure Key Vault Private Link

Deshabilitación del acceso de la red pública

Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: deshabilite el acceso a la red pública mediante las reglas de filtrado de IP del firewall de Azure Key Vault.

Referencia: Seguridad de red de Azure Key Vault

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy: Microsoft.KeyVault:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: Azure Key Vault debe deshabilitar el acceso a la red pública Deshabilite el acceso de red público para el almacén de claves de modo que no sea accesible mediante la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/akvprivatelink. Audit, Deny, Disabled 2.0.0-preview
[Versión preliminar]: el punto de conexión privado debe estar configurado para Key Vault Private Link proporciona una manera de conectar Key Vault a los recursos de Azure sin enviar tráfico a través de la red pública de Internet. Un vínculo privado proporciona varios niveles de protección contra la filtración de datos. Audit, Deny, Disabled 1.1.0-preview

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Uso de una identidad centralizada y un sistema de autenticación

Características

Autenticación de Azure AD necesario para el acceso al plano de datos

Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Autenticación de Azure Key Vault

Métodos de autenticación local para el acceso al plano de datos

Descripción: métodos de autenticación local admitidos para el acceso al plano de datos, como un nombre de usuario y una contraseña locales. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Notas de características: por lo general, no se recomienda el uso de cuentas o métodos de autenticación local y se deben deshabilitar. En su lugar, use Azure AD para autenticarse siempre que sea posible.

Guía de configuración: por lo general, no se recomienda el uso de métodos o cuentas de autenticación local y se deben deshabilitar. En su lugar, use Azure AD para autenticarse siempre que sea posible. Esta característica no se admite para proteger este servicio.

IM-3: Administración de identidades de aplicaciones de forma segura y automática

Características

Identidades administradas

Descripción: las acciones del plano de datos admiten la autenticación mediante identidades administradas. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use identidades administradas de Azure en lugar de entidades de servicio cuando sea posible, lo que puede autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD). La plataforma administra totalmente, rota y protege las credenciales de identidad administrada, lo que evita las credenciales codificadas de forma rígida en el código fuente o en los archivos de configuración.

Referencia: Autenticación de Azure Key Vault

Entidades de servicio

Descripción: el plano de datos admite la autenticación mediante entidades de servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía personalizada: se recomienda usar identidades administradas en lugar de entidades de servicio. Cuando es necesario usar entidades de servicio, limite el uso de escenarios de casos en los que no se requiere acceso basado en el usuario y no se admiten identidades administradas, como flujos de automatización o integraciones del sistema de terceros.

Referencia: Autenticación de Azure Key Vault

IM-7: Restricción del acceso a los recursos en función de las condiciones

Características

Acceso condicional para el plano de datos

Descripción: el acceso al plano de datos se puede controlar mediante directivas de acceso condicional de Azure AD. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: defina las condiciones y criterios aplicables para el acceso condicional de Azure Active Directory (Azure AD) en la carga de trabajo. Considere casos de uso comunes, como bloquear o conceder acceso desde ubicaciones específicas, bloquear el comportamiento de inicio de sesión de riesgo o requerir dispositivos administrados por la organización para aplicaciones específicas.

Referencia: Acceso condicional de Azure Key Vault

IM-8: Restricción de la exposición de credenciales y secretos

Características

Compatibilidad con la integración y el almacenamiento de credenciales de servicio y secretos en Azure Key Vault

Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén de credenciales y secretos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: asegúrese de que los secretos y las credenciales se almacenan en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlos en archivos de código o configuración.

Referencia: Acerca de los secretos de Azure Key Vault

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios

Características

Cuentas de Administración locales

Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Notas de características: por lo general, no se recomienda el uso de cuentas o métodos de autenticación local y se deben deshabilitar. En su lugar, use Azure AD para autenticarse siempre que sea posible.

Guía de configuración: por lo general, no se recomienda el uso de métodos o cuentas de autenticación local y se deben deshabilitar. En su lugar, use Azure AD para autenticarse siempre que sea posible. Esta característica no se admite para proteger este servicio.

PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)

Características

RBAC de Azure para el plano de datos

Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para administrar el acceso a las acciones del plano de datos del servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use el control de acceso basado en rol de Azure (RBAC de Azure) para administrar el acceso a los recursos de Azure mediante asignaciones de roles integradas. Los roles RBAC de Azure se pueden asignar a usuarios, grupos, entidades de servicio e identidades administradas.

Referencia: Compatibilidad con RBAC de Azure Key Vault

Protección de los datos

Para obtener más información, consulte Azure Security Benchmark: Protección de datos.

DP-3: Cifrado de datos confidenciales en tránsito

Características

Cifrado de datos en tránsito

Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Guía personalizada: No se requieren configuraciones adicionales, ya que se administra mediante la plataforma Azure

Referencia: Características de seguridad de Azure Key Vault

DP-4: Habilitación del cifrado de datos en reposo de forma predeterminada

Características

Cifrado de datos en reposo mediante claves de plataforma

Descripción: se admite el cifrado de datos en reposo mediante claves de plataforma, cualquier contenido del cliente en reposo se cifra con estas claves administradas por Microsoft. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft

Guía de configuración: no se requieren configuraciones adicionales, ya que está habilitada en una implementación predeterminada.

Referencia: Almacenamiento seguro de secretos y claves de Azure Key Vault

DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario

Características

Cifrado de datos en reposo mediante CMK

Descripción: el cifrado de datos en reposo mediante claves administradas por el cliente es compatible con el contenido del cliente almacenado por el servicio. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: Azure Key Vault es donde se almacenan las claves para el cifrado de claves administradas por el cliente (CMK). Tiene la opción de usar claves protegidas por software o claves protegidas por HSM (módulo de seguridad de hardware) para la solución CMK.

Referencia: Almacenamiento seguro de secretos y claves de Azure Key Vault

Notas de guía: Para obtener información sobre la clave administrada por el cliente y HSM, consulte: https://techcommunity.microsoft.com/t5/azure-confidential-computing/azure-key-vault-managed-hsm-control-your-data-in-the-cloud/ba-p/3359310

DP-6: Uso de un proceso seguro de administración de claves

Características

Administración de claves en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para las claves, secretos o certificados de cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: siga los procedimientos recomendados de Azure Key Vault para administrar de forma segura el ciclo de vida de las claves en el almacén de claves. Esto incluye la generación, distribución, almacenamiento, rotación y revocación de claves.

Referencia: Administración de claves de Azure Key Vault

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy: Microsoft.KeyVault:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las claves de Key Vault deben tener una fecha de expiración Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. Audit, Deny, Disabled 1.0.2
Los secretos de Key Vault deben tener una fecha de expiración Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos. Audit, Deny, Disabled 1.0.2

DP-7: Uso de un proceso seguro de administración de certificados

Características

Administración de certificados en Azure Key Vault

Descripción: el servicio admite la integración de Azure Key Vault para los certificados de cliente. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: siga el procedimiento recomendado de Azure Key Vault para administrar de forma segura el ciclo de vida del certificado en el almacén de claves. Esto incluye la creación o importación de claves, la rotación, la revocación, el almacenamiento y la purga del certificado.

Referencia: Administración de certificados de Azure Key Vault

Supervisión de Microsoft Defender for Cloud

Definiciones integradas de Azure Policy: Microsoft.KeyVault:

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: los certificados deben tener el período de validez máximo especificado Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo que un certificado puede ser válido en el almacén de claves. audit, deny, disabled 2.1.0-preview

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-2: Uso exclusivo de los servicios aprobados

Características

Compatibilidad con Azure Policy

Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de Azure Policy. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy para auditar y aplicar configuraciones de azure Key Vault. Use Azure Monitor para crear alertas cuando se detecte una desviación de la configuración en los recursos. Use Azure Policy [deny] y [deploy if not exists] efectos para aplicar la configuración segura en los recursos de Azure.

Referencia: Directiva de Azure Key Vault

Registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: Registro y detección de amenazas.

LT-1: Habilitación de las funcionalidades de detección de amenazas

Características

Oferta de microsoft Defender para servicio o producto

Descripción: el servicio tiene una solución específica de Microsoft Defender que ofrece para supervisar y alertar sobre problemas de seguridad. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: habilite Microsoft Defender para Key Vault, cuando reciba una alerta de Microsoft Defender para Key Vault, investigue y responda a la alerta.

Referencia: Microsoft Defender para Azure Key Vault

LT-4: Habilitación del registro para la investigación de seguridad

Características

Registros de recursos de Azure

Descripción: el servicio genera registros de recursos que pueden proporcionar métricas y registros mejorados específicos del servicio. El cliente puede configurar estos registros de recursos y enviarlos a su propio receptor de datos, como una cuenta de almacenamiento o un área de trabajo de Log Analytics. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía de configuración: habilite los registros de recursos para el almacén de claves. Los registros de recursos de Azure Key Vault pueden registrar actividades de operación de clave, como la creación, recuperación y eliminación de claves.

Referencia: Registro de Azure Key Vault

Copia de seguridad y recuperación

Para más información, consulte Azure Security Benchmark: Copia de seguridad y recuperación.

BR-1: Garantía de copias de seguridad automáticas periódicas

Características

Azure Backup

Descripción: el servicio puede realizar una copia de seguridad del servicio Azure Backup. Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
False No es aplicable No es aplicable

Guía de configuración: esta característica no se admite para proteger este servicio.

Funcionalidad de copia de seguridad nativa del servicio

Descripción: el servicio admite su propia funcionalidad de copia de seguridad nativa (si no usa Azure Backup). Más información.

Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer

Guía personalizada: use Azure Key Vault característica de copia de seguridad nativa para realizar copias de seguridad de los secretos, las claves y los certificados y asegurarse de que el servicio se pueda recuperar mediante los datos de copia de seguridad.

Referencia: Copia de seguridad de Azure Key Vault

Pasos siguientes