Sobre o Azure Key Vault

O Azure Key Vault é uma das várias soluções de gerenciamento de chaves no Azure e ajuda a resolver os seguintes problemas:

  • Gerenciamento de Segredos – O Azure Key Vault pode ser usado para armazenar com segurança e controlar firmemente o acesso a tokens, senhas, certificados, chaves de API e outros segredos
  • Gerenciamento de Chaves – O Azure Key Vault pode ser usado como uma solução de gerenciamento de chaves. O Azure Key Vault torna fácil criar e controlar as chaves de criptografia usadas para criptografar seus dados.
  • Gerenciamento de Certificado – O Azure Key Vault permite provisionar, gerenciar e implantar com facilidade certificados de protocolo TLS/SSL públicos e privados para uso com o Azure e seus recursos internos conectados.

O Azure Key Vault tem duas camadas de serviço: Standard, que faz a criptografia com uma chave de software, e uma camada Premium, que inclui chaves protegidas por HSM (módulo de segurança de hardware). Para ver uma comparação entre as camadas Standard e Premium, confira a página de preços do Azure Key Vault.

Observação

Confiança Zero é uma estratégia de segurança composta por três princípios: "Verificar explicitamente", "Usar acesso de privilégios mínimos" e "Assumir a violação". A proteção de dados, incluindo o gerenciamento de chaves, dá suporte ao princípio de "usar acesso de privilégios mínimos". Para saber mais, confira O que é Confiança Zero?

Por que usar o Azure Key Vault?

Centralizar segredos do aplicativo

O armazenamento centralizado de segredos do aplicativo no Azure Key Vault permite que você controle sua distribuição. O Key Vault reduz consideravelmente a probabilidade de os segredos serem vazados acidentalmente. Ao usar o Key Vault, os desenvolvedores de aplicativos não precisam mais armazenar informações de segurança no aplicativo. A falta de necessidade de armazenar informações de segurança em aplicativos elimina a necessidade de inserir essas informações como parte do código. Por exemplo, um aplicativo pode precisar se conectar a um banco de dados. Em vez de armazenar a cadeia de conexão no código do aplicativo, armazene-o com segurança no Key Vault.

Os aplicativos podem acessar com segurança as informações necessárias usando URIs. Esses URIs permitem que os aplicativos recuperem versões específicas de um segredo. Não há necessidade de gravar código personalizado para proteger informações secretas armazenadas no Key Vault.

Armazene segredos e chaves com segurança

O acesso a um cofre de chaves requer a devida autenticação e autorização antes de um chamador (usuário ou aplicativo) poder obter acesso. A autenticação estabelece a identidade do chamador e a autorização determina as operações que ele tem permissão para executar.

A autenticação é feita pela ID do Microsoft Entra. A autorização pode ser feita por meio do RBAC (controle de acesso baseado em função) do Azure ou da política de acesso do Key Vault. O RBAC do Azure pode ser usado tanto para o gerenciamento dos cofres quanto para o acesso aos dados armazenados em um cofre, enquanto a política de acesso ao cofre de chaves só pode ser usada para tentar acessar os dados armazenados em um cofre.

Os Azure Key Vaults podem ser protegidos por software ou, com a camada do Azure Key Vault Premium, protegidos por hardware por HSMs (módulos de segurança de hardware). As chaves, os segredos e os certificados protegidos por software são protegidos pelo Azure por meio de algoritmos padrão do setor e comprimentos de chave. Para situações que exijam garantia extra, você pode importar ou gerar chaves em HSMs que nunca deixam os limites do HSM. O Azure Key Vault usa HSMs validados para o padrão FIPS 140. Você pode usar as ferramentas fornecidas pelo fornecedor de HSM para mover uma chave do seu HSM para o Azure Key Vault.

Por fim, o Azure Key Vault é projetado para que a Microsoft não veja nem extraia seus dados.

Monitorar o acesso e o uso

Depois de criar alguns Key Vaults, você deverá monitorar como e quando suas chaves e segredos estão sendo acessados. Monitore a atividade habilitando o log para os cofres. Você pode configurar o Azure Key Vault para:

  • Arquive em uma conta de armazenamento.
  • Transmita para um hub de eventos.
  • Enviar logs para os logs do Azure Monitor.

Você tem controle sobre os logs e pode protegê-los restringindo o acesso, e também pode excluir logs que não são mais necessários.

Administração simplificada de segredos do aplicativo

Ao armazenar dados valiosos, é necessário executar várias etapas. As informações de segurança precisam ser protegidas, seguir um ciclo de vida e estar altamente disponíveis. O Azure Key Vault simplifica o processo de atender a esses requisitos por meio de:

  • Remoção da necessidade de conhecimento interno sobre Módulos de Segurança de Hardware.
  • Escalonamento vertical rápido para atender aos picos de uso da sua organização.
  • Replicando o conteúdo de seu Key Vault dentro de uma região e para uma região secundária. A replicação de dados garante a alta disponibilidade e elimina a necessidade de qualquer ação por parte do administrador para disparar o failover.
  • Fornecendo opções de administração do Azure padrão por meio do portal, da CLI do Azure e do PowerShell.
  • Automatizando algumas tarefas em certificados que você compra de autoridades de certificação pública, como registro e renovação.

Além disso, os Azure Key Vaults permitem que você separe os segredos do aplicativo. Os aplicativos podem acessar apenas o cofre que eles têm permissão para acessar e podem estar limitados a executar operações específicas. Você pode criar um Azure Key Vault por aplicativo e restringir os segredos armazenados em um Key Vault para um aplicativo e uma equipe de desenvolvedores específicos.

Integração com outros serviços do Azure

Como um repositório seguro no Azure, o Key Vault tem sido usado para simplificar cenários como:

O próprio Key Vault pode se integrar às contas de armazenamento, aos hubs de eventos e ao Log Analytics.

Próximas etapas