Acerca de Azure Key Vault
Azure Key Vault es una de las distintas soluciones de administración de claves en Azure y ayuda a resolver los problemas siguientes:
- Administración de secretos: Azure Key Vault se puede utilizar para almacenar de forma segura y controlar de manera estricta el acceso a los tokens, contraseñas, certificados, claves de API y otros secretos.
- Administración de claves: se puede usar Azure Key Vault como una solución de administración de claves. Azure Key Vault facilita la creación y control de las claves de cifrado utilizadas para cifrar los datos.
- Administración de certificados: Azure Key Vault le permite aprovisionar, administrar e implementar fácilmente certificados públicos y privados de la Seguridad de la capa de transporte y de la Capa de sockets seguros (TLS/SSL) para su uso con Azure y sus recursos internos conectados.
Azure Key Vault tiene dos niveles de servicio: Estándar, que realiza el cifrado con una clave de software, y Prémium, que incluye claves protegidas mediante un módulo de seguridad de hardware (HSM). Para ver una comparación entre los niveles Estándar y Premium, consulte la página de precios de Azure Key Vault.
Nota
Confianza cero es una estrategia de seguridad que consta de tres principios: "Comprobar explícitamente", "Usar acceso con privilegios mínimos" y "Asumir una vulneración". La protección de datos, incluida la administración de claves, admite el principio de "Usar acceso con privilegios mínimos". Para obtener más información, consulte ¿Qué es la Confianza cero?
Motivos para usar Azure Key Vault
Centralización de secretos de aplicación
La centralización del almacenamiento de los secretos de aplicación le permite controlar su distribución. Key Vault reduce en gran medida las posibilidades de que se puedan filtrar por accidente los secretos. Cuando los desarrolladores de aplicaciones usan Key Vault, ya no tienen que almacenar la información de seguridad en su aplicación. No tener que almacenar información de seguridad en las aplicaciones elimina la necesidad de que esta información sea parte del código. Por ejemplo, puede que una aplicación necesite conectarse a una base de datos. En lugar de almacenar la cadena de conexión en el código de la aplicación, puede almacenarla de forma segura en Key Vault.
Las aplicaciones pueden acceder de manera protegida a la información que necesitan a través de URI. Estos URI permiten que las aplicaciones recuperen versiones específicas de un secreto. No es necesario escribir código personalizado para proteger la información de secretos almacenada en Key Vault.
Almacenamiento seguro de secretos y claves
El acceso a un almacén de claves requiere una autorización y autenticación correctas antes de que un autor de llamada (usuario o aplicación) pueda obtener acceso. La autenticación establece la identidad del autor de la llamada, mientras que la autorización determina las operaciones que puede realizar.
La autenticación se realiza a través de Microsoft Entra ID. La autorización puede realizarse mediante el control de acceso basado en rol de Azure (RBAC de Azure) o la directiva de acceso de Key Vault. Azure RBAC se puede utilizar tanto para la administración de los almacenes como para acceder a los datos almacenados en un almacén, mientras que la directiva de acceso del almacén de claves solo se puede usar cuando se intenta acceder a los datos almacenados en un almacén.
Los almacenes de claves de Azure se cifran en reposo con una clave almacenada en módulos de seguridad de hardware (HSM). Azure protege las claves, secretos y certificados con algoritmos estándar del sector, longitudes de clave y módulos criptográficos de software. Para mayor seguridad, puede generar o importar claves en HSM (tipo RSA-HSM, EC-HSM u OCT-HSM) que nunca salgan del límite del HSM. Azure Key Vault usa el Estándar federal de procesamiento de información 140, módulos criptográficos de software validados y HSM.
Por último, Azure Key Vault está diseñado para que Microsoft no vea ni extraiga los datos.
Supervisión del acceso y uso
Una vez que haya creado un par de instancias de Key Vault, se recomienda supervisar cómo y cuándo se accede a las claves y los secretos. Para supervisar la actividad, puede habilitar el registro de los almacenes. Puede configurar Azure Key Vault para:
- Archivar en una cuenta de almacenamiento.
- Transmitir a un centro de eventos.
- Envíe los registros a los registros de Azure Monitor.
Tiene el control sobre los registros y puede protegerlos de forma segura restringiendo el acceso y, además, puede eliminar los registros que ya no necesita.
Administración simplificada de secretos de aplicación
Al almacenar datos importantes, debe realizar varios pasos. Se debe proteger la información de seguridad, esta debe seguir un ciclo de vida y debe tener alta disponibilidad. Azure Key Vault simplifica el proceso de cumplimiento de estos requisitos mediante:
- La eliminación de la necesidad de poseer conocimientos internos sobre los módulos de Hardware Security.
- El escalado vertical en un breve plazo de tiempo para adaptarse a los picos de uso de la organización.
- La replicación del contenido de una instancia de Key Vault de una región en una región secundaria. La replicación de datos garantiza la alta disponibilidad y elimina la necesidad de intervención del administrador para desencadenar la conmutación por error.
- La disposición de opciones estándar de administración de Azure a través del portal, la CLI de Azure y PowerShell.
- La automatización de determinadas tareas de los certificados que adquiere de entidades de certificación públicas, como la inscripción y la renovación.
Además, Azure Key Vault le permite segregar los secretos de aplicación. Las aplicaciones solo pueden acceder al almacén para el que tengan permiso, y se puede limitar el acceso para realizar únicamente operaciones específicas. Puede crear una instancia de Azure Key Vault por aplicación y restringir los secretos almacenados en un almacén de claves a una aplicación y a un equipo de desarrolladores concretos.
Integración con otros servicios de Azure
Como almacén seguro de Azure, Key Vault se ha usado para simplificar escenarios como:
- Azure Disk Encryption
- La funcionalidad de cifrado siempre y Cifrado de datos transparente del servidor de SQL Server y Azure SQL Database
- Azure App Service.
Key Vault se puede integrar con cuentas de almacenamiento e instancias de Event Hubs y Log Analytics.