O que é o Cofre da Chave do Azure?What is Azure Key Vault?

O Azure Key Vault ajuda a resolver os problemas a seguir:Azure Key Vault helps solve the following problems:

  • Gerenciamento de Segredos – O Azure Key Vault pode ser usado para armazenar com segurança e controlar firmemente o acesso a tokens, senhas, certificados, chaves de API e outros segredosSecrets Management - Azure Key Vault can be used to Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets
  • Gerenciamento de Chaves – O Azure Key Vault também pode ser usado como uma solução de gerenciamento de chaves.Key Management - Azure Key Vault can also be used as a Key Management solution. O Azure Key Vault torna fácil criar e controlar as chaves de criptografia usadas para criptografar seus dados.Azure Key Vault makes it easy to create and control the encryption keys used to encrypt your data.
  • Gerenciamento de Certificado – O Azure Key Vault também é um serviço que permite provisionar, gerenciar e implantar certificados de protocolo SSL/TLS (Secure Sockets Layer/Transport Layer Security) públicos e privados para uso com o Azure e seus recursos internos conectados com facilidade.Certificate Management - Azure Key Vault is also a service that lets you easily provision, manage, and deploy public and private Secure Sockets Layer/Transport Layer Security (SSL/TLS) certificates for use with Azure and your internal connected resources.
  • Armazenar segredos com suporte de módulos de segurança de hardware – As chaves e os segredos podem ser protegidos por software ou FIPS 140-2 Nível 2 que valida HSMsStore secrets backed by Hardware Security Modules - The secrets and keys can be protected either by software or FIPS 140-2 Level 2 validates HSMs

Por que usar o Azure Key Vault?Why use Azure Key Vault?

Centralizar segredos do aplicativoCentralize application secrets

O armazenamento centralizado de segredos do aplicativo no Azure Key Vault permite que você controle sua distribuição.Centralizing storage of application secrets in Azure Key Vault allows you to control their distribution. O Key Vault reduz consideravelmente a probabilidade de os segredos serem vazados acidentalmente.Key Vault greatly reduces the chances that secrets may be accidentally leaked. Ao usar o Key Vault, os desenvolvedores de aplicativos não precisam mais armazenar informações de segurança no aplicativo.When using Key Vault, application developers no longer need to store security information in their application. A falta de necessidade de armazenar informações de segurança em aplicativos elimina a necessidade de inserir essas informações como parte do código.Not having to store security information in applications eliminates the need to make this information part of the code. Por exemplo, um aplicativo pode precisar se conectar a um banco de dados.For example, an application may need to connect to a database. Em vez de armazenar a cadeia de conexão no código do aplicativo, armazene-o com segurança no Key Vault.Instead of storing the connection string in the app's code, you can store it securely in Key Vault.

Os aplicativos podem acessar com segurança as informações necessárias usando URIs.Your applications can securely access the information they need by using URIs. Esses URIs permitem que os aplicativos recuperem versões específicas de um segredo.These URIs allow the applications to retrieve specific versions of a secret. Não há necessidade de escrever um código personalizado para proteger as informações de segredo armazenadas no Key Vault.There is no need to write custom code to protect any of the secret information stored in Key Vault.

Armazene segredos e chaves com segurançaSecurely store secrets and keys

Os segredos e as chaves são protegidas pelo Azure, usando módulos de segurança de hardware (HSMs), comprimentos da chave e algoritmos padrão da indústria.Secrets and keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules (HSMs). Os HSMs usados são validados pelo padrão FIPS (Federal Information Processing Standards) 140-2 Nível 2.The HSMs used are Federal Information Processing Standards (FIPS) 140-2 Level 2 validated.

O acesso a um cofre de chaves requer a devida autenticação e autorização antes de um chamador (usuário ou aplicativo) poder obter acesso.Access to a key vault requires proper authentication and authorization before a caller (user or application) can get access. A autenticação estabelece a identidade do chamador e a autorização determina as operações que ele tem permissão para executar.Authentication establishes the identity of the caller, while authorization determines the operations that they are allowed to perform.

A autenticação é feita pelo Azure Active Directory.Authentication is done via Azure Active Directory. A autorização pode ser feita por meio de RBAC (controle de acesso baseado em função) ou de política de acesso do Key Vault.Authorization may be done via role-based access control (RBAC) or Key Vault access policy. O RBAC é usado quando é necessário lidar com o gerenciamento dos cofres e a política de acesso do cofre de chaves é usada na tentativa de acessar dados armazenados em um cofre.RBAC is used when dealing with the management of the vaults and key vault access policy is used when attempting to access data stored in a vault.

Os Azure Key Vaults podem ser qualquer software ou hardware protegido por HSM.Azure Key Vaults may be either software- or hardware-HSM protected. Para situações que exijam garantia extra, você pode importar ou gerar chaves em HSMs (módulos de segurança de hardware) que nunca deixam os limites do HSM.For situations where you require added assurance you can import or generate keys in hardware security modules (HSMs) that never leave the HSM boundary. A Microsoft usa módulos de segurança de hardware nCipher.Microsoft uses nCipher hardware security modules. Você pode usar as ferramentas nCipher para mover uma chave de seu HSM para o Azure Key Vault.You can use nCipher tools to move a key from your HSM to Azure Key Vault.

Por fim, o Azure Key Vault foi projetado para que a Microsoft não veja nem extraia seus dados.Finally, Azure Key Vault is designed so that Microsoft does not see or extract your data.

Monitorar o acesso e o usoMonitor access and use

Depois de criar alguns Key Vaults, é bom monitorar como e quando suas chaves e segredos são acessados.Once you have created a couple of Key Vaults, you will want to monitor how and when your keys and secrets are being accessed. Monitore a atividade habilitando o log para os cofres.You can monitor activity by enabling logging for your vaults. Você pode configurar o Azure Key Vault para:You can configure Azure Key Vault to:

  • Arquive em uma conta de armazenamento.Archive to a storage account.
  • Transmita para um hub de eventos.Stream to an event hub.
  • Enviar logs para os logs do Azure Monitor.Send the logs to Azure Monitor logs.

Você tem controle sobre os logs e pode protegê-los restringindo o acesso, e também pode excluir logs que não são mais necessários.You have control over your logs and you may secure them by restricting access and you may also delete logs that you no longer need.

Administração simplificada de segredos do aplicativoSimplified administration of application secrets

Ao armazenar dados valiosos, é necessário executar várias etapas.When storing valuable data, you must take several steps. As informações de segurança precisam ser protegidas, seguir um ciclo de vida e estar altamente disponíveis.Security information must be secured, it must follow a life cycle, it must be highly available. O Azure Key Vault simplifica o processo de atender a esses requisitos por meio de:Azure Key Vault simplifies the process of meeting these requirements by:

  • Remoção da necessidade de conhecimento interno sobre Módulos de Segurança de HardwareRemoving the need for in-house knowledge of Hardware Security Modules
  • Escalando verticalmente e rapidamente para atender aos picos de uso da sua organização.Scaling up on short notice to meet your organization’s usage spikes.
  • Replicando o conteúdo de seu Key Vault dentro de uma região e para uma região secundária.Replicating the contents of your Key Vault within a region and to a secondary region. A replicação de dados garante a alta disponibilidade e elimina a necessidade de qualquer ação por parte do administrador para disparar o failover.Data replication ensures high availability and takes away the need of any action from the administrator to trigger the failover.
  • Fornecendo opções de administração do Azure padrão por meio do portal, da CLI do Azure e do PowerShell.Providing standard Azure administration options via the portal, Azure CLI and PowerShell.
  • Automatizando algumas tarefas em certificados que você compra de autoridades de certificação pública, como registro e renovação.Automating certain tasks on certificates that you purchase from Public CAs, such as enrollment and renewal.

Além disso, os Azure Key Vaults permitem que você separe os segredos do aplicativo.In addition, Azure Key Vaults allow you to segregate application secrets. Os aplicativos podem acessar apenas o cofre que eles têm permissão para acessar e podem estar limitados a executar operações específicas.Applications may access only the vault that they are allowed to access, and they can be limited to only perform specific operations. Você pode criar um Azure Key Vault por aplicativo e restringir os segredos armazenados em um Key Vault para um aplicativo e uma equipe de desenvolvedores específicos.You can create an Azure Key Vault per application and restrict the secrets stored in a Key Vault to a specific application and team of developers.

Integração com outros serviços do AzureIntegrate with other Azure services

Como um repositório seguro no Azure, o Key Vault tem sido usado para simplificar cenários como:As a secure store in Azure, Key Vault has been used to simplify scenarios like:

O próprio Key Vault pode se integrar às contas de armazenamento, aos hubs de eventos e ao Log Analytics.Key Vault itself can integrate with storage accounts, event hubs, and log analytics.

Próximas etapasNext steps