Melhores práticas para utilizar o Azure Key Vault

  • Artigo

O Azure Key Vault salvaguarda chaves de encriptação e segredos, como certificados, cadeias de ligação e palavras-passe. Este artigo ajuda-o a otimizar a sua utilização de cofres de chaves.

Utilizar cofres de chaves separados

A nossa recomendação é utilizar um cofre por aplicação por ambiente (desenvolvimento, pré-produção e produção) por região. O isolamento granular ajuda-o a não partilhar segredos entre aplicações, ambientes e regiões e também reduz a ameaça se existir uma falha de segurança.

Por que recomendamos cofres de chaves separados

Os cofres de chaves definem limites de segurança para segredos armazenados. Agrupar segredos no mesmo cofre aumenta o raio de explosão de um evento de segurança porque os ataques podem ser capazes de aceder a segredos em todas as preocupações. Para mitigar o acesso entre preocupações, considere os segredos a que uma aplicação específica deve ter acesso e, em seguida, separe os cofres de chaves com base nesta delimitação. Separar cofres de chaves por aplicação é o limite mais comum. No entanto, os limites de segurança podem ser mais granulares para aplicações grandes, por exemplo, por grupo de serviços relacionados.

Controlar o acesso ao cofre

As chaves de encriptação e os segredos, como certificados, cadeias de ligação e palavras-passe, são confidenciais e críticos para a empresa. Tem de proteger o acesso aos cofres de chaves ao permitir apenas aplicações e utilizadores autorizados. As funcionalidades de segurança do Azure Key Vault fornecem uma descrição geral do modelo de acesso Key Vault. Explica a autenticação e autorização. Também descreve como proteger o acesso aos cofres de chaves.

As recomendações para controlar o acesso ao cofre são as seguintes:

  • Bloqueie o acesso à sua subscrição, grupo de recursos e cofres de chaves com o controlo de acesso baseado em funções (RBAC).
  • Atribuir funções RBAC no âmbito Key Vault para aplicações, serviços e cargas de trabalho que exijam acesso persistente a Key Vault
  • Atribuir funções RBAC elegíveis just-in-time para operadores, administradores e outras contas de utilizador que necessitem de acesso privilegiado a Key Vault com Privileged Identity Management (PIM)
    • Exigir, pelo menos, um aprovador
    • Reforçar autenticação multifator
  • Restringir o acesso à rede com Private Link, firewall e redes virtuais

Ativar a proteção de dados para o cofre

Ative a proteção contra remoção para proteger contra a eliminação maliciosa ou acidental dos segredos e do cofre de chaves mesmo depois de a eliminação recuperável estar ativada.

Para obter mais informações, veja Descrição geral da eliminação recuperável do Azure Key Vault

Ativar o registo

Ative o registo do cofre. Além disso, configure alertas.

Backup

A proteção contra remoção impede a eliminação maliciosa e acidental de objetos do cofre durante um máximo de 90 dias. Em cenários, quando a proteção contra remoção não é uma opção possível, recomendamos objetos do cofre de cópia de segurança, que não podem ser recriados a partir de outras origens, como chaves de encriptação geradas no cofre.

Para obter mais informações sobre a cópia de segurança, veja Cópia de segurança e restauro do Azure Key Vault

Soluções multi-inquilino e Key Vault

Uma solução multi-inquilino baseia-se numa arquitetura em que os componentes são utilizados para servir vários clientes ou inquilinos. As soluções multi-inquilino são frequentemente utilizadas para suportar soluções de software como serviço (SaaS). Se estiver a criar uma solução multi-inquilino que inclua Key Vault, reveja Multitenancy e Azure Key Vault.

Perguntas Mais Frequentes:

Posso utilizar Key Vault atribuições de âmbito de objeto de modelo de acesso baseado em funções (RBAC) para fornecer isolamento às equipas de aplicações dentro de Key Vault?

N.º O modelo de permissão RBAC permite atribuir acesso a objetos individuais no Key Vault ao utilizador ou à aplicação, mas apenas para leitura. Quaisquer operações administrativas, como o controlo de acesso à rede, a monitorização e a gestão de objetos, requerem permissões ao nível do cofre. Ter um Key Vault por aplicação fornece isolamento seguro para os operadores em todas as equipas de aplicações.

Passos seguintes

Saiba mais sobre as melhores práticas de gestão de chaves: