Partilhar via


Sobre o Azure Key Vault

O Azure Key Vault é uma das várias soluções de gerenciamento de chaves no Azure e ajuda a resolver os seguintes problemas:

  • Gestão de Segredos – o Azure Key Vault pode ser utilizado para armazenar de forma segura e controlar totalmente o acesso a tokens, palavras-passe, certificados, chaves de API e outros segredos
  • Gerenciamento de chaves - O Cofre de Chaves do Azure pode ser usado como uma solução de Gerenciamento de Chaves. O Azure Key Vault torna mais fácil criar e controlar as chaves de encriptação utilizadas para encriptar os seus dados.
  • Gerenciamento de Certificados - O Azure Key Vault permite provisionar, gerenciar e implantar facilmente certificados públicos e privados de Transport Layer Security/Secure Sockets Layer (TLS/SSL) para uso com o Azure e seus recursos internos conectados.

O Azure Key Vault tem duas camadas de serviço: Standard, que criptografa com uma chave de software, e uma camada Premium, que inclui chaves protegidas pelo módulo de segurança de hardware (HSM). Para ver uma comparação entre as camadas Standard e Premium, consulte a página de preços do Azure Key Vault.

Nota

O Zero Trust é uma estratégia de segurança composta por três princípios: "Verificar explicitamente", "Usar acesso com privilégios mínimos" e "Assumir violação". A proteção de dados, incluindo o gerenciamento de chaves, apoia o princípio de "usar acesso com privilégios mínimos". Para obter mais informações, consulte O que é Zero Trust?

Porquê utilizar o Azure Key Vault?

Centralizar os segredos das aplicações

Ao centralizar o armazenamento dos segredos das aplicações no Azure Key Vault, pode controlar a distribuição dos mesmos. O Key Vault reduz grandemente as possibilidades de haver fugas de segredos acidentais. Quando os desenvolvedores de aplicativos usam o Cofre de Chaves, eles não precisam mais armazenar informações de segurança em seus aplicativos. Não ter que armazenar informações de segurança em aplicativos elimina a necessidade de tornar essas informações parte do código. Por exemplo, uma aplicação poderá ter de se ligar a uma base de dados. Em vez de armazenar a cadeia de conexão no código do aplicativo, você pode armazená-la com segurança no Cofre da Chave.

Seus aplicativos podem acessar com segurança as informações de que precisam usando URIs. Esses URIs permitem que os aplicativos recuperem versões específicas de um segredo. Não há necessidade de escrever código personalizado para proteger qualquer informação secreta armazenada no Cofre de Chaves.

Guarde os segredos e chaves em segurança

O acesso a um cofre de chaves requer autenticação e autorização adequadas antes de um “chamador” (utilizador ou aplicação) poder obter acesso. A autenticação estabelece a identidade do chamador, enquanto a autorização determina as operações que ele pode executar.

A autenticação é feita através do Microsoft Entra ID. A autorização pode ser feita por meio do controle de acesso baseado em função do Azure (Azure RBAC) ou da política de acesso do Cofre da Chave. O RBAC do Azure pode ser usado para o gerenciamento dos cofres e para acessar dados armazenados em um cofre, enquanto a política de acesso ao cofre de chaves só pode ser usada ao tentar acessar dados armazenados em um cofre.

Os Cofres de Chaves do Azure podem ser protegidos por software ou, com a camada Premium do Azure Key Vault, protegidos por hardware por HSMs (módulos de segurança de hardware). Chaves, segredos e certificados protegidos por software são protegidos pelo Azure, usando algoritmos padrão do setor e comprimentos de chave. Para situações em que você precisa de garantia adicional, você pode importar ou gerar chaves em HSMs que nunca saem do limite do HSM. O Azure Key Vault usa HSMs validados pelo Federal Information Processing Standard 140. Você pode usar as ferramentas fornecidas pelo fornecedor do HSM para mover uma chave do HSM para o Cofre de Chaves do Azure.

Finalmente, o Azure Key Vault foi projetado para que a Microsoft não veja ou extraia seus dados.

Monitorizar o acesso e a utilização

Depois de criar alguns Cofres de Chaves, você vai querer monitorar como e quando suas chaves e segredos estão sendo acessados. Pode monitorizar a atividade ativando o registo nos seus cofres. Pode configurar o Azure Key Vault para:

  • Arquivar numa conta de armazenamento.
  • Transmitir em fluxo para um hub de eventos.
  • Envie os logs para os logs do Azure Monitor.

Tem controlo sobre os seus registos, pode protegê-los ao restringir o acesso e também pode eliminar aqueles de que já não precisa.

Administração simplificada de segredos de aplicações

Quando armazena dados valiosos, tem de executar vários passos. As informações de segurança devem ser protegidas, devem seguir um ciclo de vida e devem estar altamente disponíveis. O Azure Key Vault simplifica o processo de atender a esses requisitos:

  • Eliminando a necessidade de conhecimento interno dos Módulos de Segurança de Hardware.
  • Escalonamento em curto prazo para atender aos picos de uso da sua organização.
  • Replicar os conteúdos do seu cofre de chaves numa região e para uma região secundária. A replicação de dados garante alta disponibilidade e elimina a necessidade de qualquer ação do administrador para acionar o failover.
  • Disponibilizar opções de administração padrão do Azure através do portal, da CLI do Azure e do PowerShell.
  • Automatizar determinadas tarefas relativas a certificados que comprar junto de ACs públicas, como inscrição e renovação.

Além disso, o Azure Key Vault permite-lhe segregar segredos das aplicações. Os aplicativos podem acessar apenas o cofre que têm permissão para acessar e podem ser limitados a executar apenas operações específicas. Pode criar um cofre de chaves do Azure por aplicação e restringir os segredos armazenados num cofre a uma aplicação e a uma equipa de programadores específica.

Integrar noutros serviços do Azure

Como um armazenamento seguro no Azure, o Key Vault foi usado para simplificar cenários como:

O próprio Key Vault pode ser integrado em Contas de Armazenamento, em Hubs de Eventos e no Log Analytics.

Próximos passos