Administración de claves y certificados en Microsoft Cloud for Sovereignty
La autenticación y el cifrado criptográficos son estrategias eficaces para cumplir los requisitos de confidencialidad, privacidad y soberanía de los datos. Sin embargo, la eficacia de estas soluciones depende de la seguridad y resistencia de las tecnologías criptográficas subyacentes y de los procesos operativos. Este artículo presenta conceptos con los que debe estar familiarizado cuando planifique usar claves de cifrado y certificados digitales para proteger las cargas de trabajo que va a migrar a la nube.
Administración de claves
Los materiales criptográficos se almacenan y administran en Azure utilizando Azure Key Vault, que está disponible tanto en modo de implementación multiempresa como en modo de inquilino único. Azure Key Vault (AKV) proporciona una administración nativa en la nube de claves, secretos y certificados en un servicio multiempresa respaldado por módulos de seguridad de hardware validados por FIPS 140. Azure Key Vault Managed HSM es un servicio de inquilino único que le proporciona un control administrativo total sobre el dominio de seguridad de su organización y las claves de cifrado asociadas.
Recomendaciones para una gestión eficaz de claves
Los controles de la plataforma, si bien son imperativos, no son el único aspecto de una gestión de claves eficaz. Microsoft también presenta varias prácticas recomendadas para una gestión de claves eficaz.
Controles de acceso
Si está usando las SKU Standard o Premium de Azure Key Vault, le recomendamos implementar un almacén por aplicación, entorno y región, con el fin de hacer cumplir los mínimos privilegios. Si usa HSM administrado, puede ser preferible implementar un número menor de almacenes centralizados para administrar los costes. Independientemente de la SKU que implemente, debe regular estrictamente el acceso a las cámaras acorazadas utilizando el control de acceso basado en rol (RBAC) y asegurarse de que las directivas de acceso en cada cámara acorazada se adhieren al principio del mínimo privilegio. Recomendamos otorgar acceso a usuarios, grupos y aplicaciones en un ámbito específico, como una suscripción, un grupo de recursos o simplemente un almacén de claves específico, mediante roles predefinidos de Azure RBAC. Controlar el acceso es fundamental y recomendado en los planos de gestión y de datos.
Copia de seguridad y recuperación
Debe tener copias de seguridad regulares a nivel de HSM y para claves específicas. Le recomendamos que configure eliminación temporal y depuración de funciones de protección para protegerse contra eliminaciones accidentales y maliciosas. Azure Monitor, que está totalmente integrado con Managed HSM, se recomienda para supervisar y registrar el acceso a los almacenes de claves. Para obtener más información, consulte la ruta de aprendizaje Mejores prácticas de Azure HSM administrado.
Rotación de claves
Asegúrese de realizar rotaciones periódicas de claves administradas por el cliente (CMK), con la frecuencia determinada por la directiva de su organización. Las claves también se deben rotar si un Administrador con acceso a clave abandona o cambia de rol, o si alguna CMK se ve comprometida. La rotación automática se admite a través de Azure Key Vault y Azure HSM administrado. Cuando sea posible, asegúrese de que el proceso de rotación esté automatizado, ejecutado sin interacción humana y probado para garantizar su eficacia. En emergencias como una clave comprometida, necesita un sistema sólido para regenerar los secretos de inmediato. Si la automatización de este proceso no es factible, recomendamos configurar alertas para evitar la caducidad y las interrupciones de los certificados.
Nota
Si bien se admite la rotación de CMK para máquinas virtuales confidenciales, el proceso de automatización aún no lo es. Puede ver más recomendaciones aquí.
Recomendaciones relacionadas con HSM
Algunos clientes expresan su interés en mantener sus claves separadas de los datos almacenando las claves en un HSM externo, ya sea en la nube de un tercero o en entorno local. Aunque este paso pueda parecer una transición natural desde la administración de entornos locales, un HSM externo puede introducir nuevos riesgos en las capas de identidad, red y software. Un HSM externo también podría aumentar los riesgos de rendimiento e introducir preocupaciones como problemas de latencia en la red, problemas de SLA causados por problemas con el HSM de terceros y costes de mantenimiento y formación. Además, es posible que los HSM de terceros no ofrezcan características importantes como la protección contra la eliminación temporal y la purga.
Para obtener más información sobre los controles técnicos integrados en la Zona de aterrizaje Soberano (SLZ) para hacer cumplir las prácticas de gestión clave adecuadas, consulte Cartera de directivas.
Administración de certificados
Los certificados digitales de seguridad se usan ampliamente para asegurar las comunicaciones de las aplicaciones en la nube. La sobrecarga asociada a las actividades de administración de certificados, incluida su emisión, rotación y revocación, puede crecer rápidamente a medida que se migran más cargas de trabajo a la nube. Los clientes que estén planeando migrar sus cargas de trabajo a Microsoft Cloud for Sovereignty deben entender sus escenarios de certificados de seguridad digital para que puedan desarrollar planes de administración de certificados como parte de su migración a la nube.
Escenarios comunes de certificados digitales
Esta sección describe los escenarios de nube comunes que usan certificados digitales para asegurar las comunicaciones.
Autenticación y cifrado de sitios web
Los sitios web usan certificados TLS para verificar su identidad ante los visitantes y para cifrar las comunicaciones. Los sitios web públicos suelen usar certificados de entidades de certificación (CA) públicas, pero las organizaciones suelen usar certificados de una CA privada para los sitios web que no están expuestos al público. En cualquier caso, los certificados para sitios web deben renovarse cuando caduquen o cuando se cuestione la integridad del certificado. Para las organizaciones con una gran presencia en Internet, la administración de estos certificados puede requerir una planificación y un esfuerzo considerables.
Autenticación del servicio
Las aplicaciones distribuidas y los microservicios suelen usar un modelo de sesión sin estado, que permite flexibilidad en el manejo de las solicitudes de las aplicaciones, pero también podría requerir autenticación y cifrado adicionales para mitigar los riesgos de seguridad. Los certificados se usan a menudo para la autenticación mutua entre capas de aplicación y componentes. A menudo, estos componentes los administran equipos de desarrollo de aplicaciones descentralizados, lo que dificulta el seguimiento y la supervisión de la administración de los certificados digitales en toda la empresa.
Autenticación de infraestructuras
Los servidores y los dispositivos de red suelen usar certificados de cliente para autenticarse en la red corporativa y durante las actividades de mantenimiento. Las organizaciones que usan soluciones como Active Directory o Kerberos suelen tener que administrar certificados de cliente para su infraestructura implementada.
Otros escenarios de certificados
Las soluciones de administración de puntos de conexión suelen usar certificados de dispositivos para autenticar los dispositivos de los usuarios finales, como PC, portátiles y dispositivos móviles. Los certificados de firma de código se usan en entornos de desarrollo para verificar el editor del software como parte del enfoque de seguridad de las aplicaciones de una organización.
Administración del ciclo de vida de los certificados en la nube
Certificados administrados por la plataforma frente a certificados administrados por el cliente
Los servicios PaaS de Azure que proporcionan cifrado para los datos en tránsito suelen implementar el cifrado mediante certificados digitales administrados por la plataforma y asociados al nombre de host predeterminado que se asigna al crear el recurso. Cuando desee usar un nombre de dominio personalizado con los recursos que implemente en la nube, deberá configurar un certificado que puedan usar los usuarios externos cuando accedan al servicio. Para la comunicación entre servicios de Azure que no están configurados para usar nombres de dominio personalizados, los certificados administrados por la plataforma son el medio predeterminado para cifrar los datos en tránsito. Si desea usar certificados asociados a nombres de dominio personalizados, consulte la documentación de los servicios de Azure que tiene previsto implementar, como los ejemplos siguientes.
Creación de certificados con Azure Key Vault
Azure Key Vault proporciona a los clientes características de administración de certificados nativas de la nube que permiten a la plataforma Azure usar certificados que los clientes crean o importan. Puede crear certificados autofirmados en Key Vault, solicitar un certificado a un emisor o importar un certificado de su propia entidad de certificados. Key Vault también le ayuda a especificar directivas para los certificados, como, por ejemplo, si desea que los certificados sean exportables o no exportables.
- Empezar a usar los certificados de Key Vault
- Integración de Key Vault con entidades emisoras de certificados integradas
- Crear y combinar una solicitud de firma de certificado en Key Vault
Crear certificados de forma local y administrarlos en Azure
Si desea emitir certificados desde una autoridad de certificación local, puede importar esos certificados a Azure Key Vault para que los usen otros servicios de Azure. Después de exportar un certificado como archivo PEM o PFX, puede importarlo a Azure Key Vault.
Crear y administrar certificados de forma local con soluciones de terceros
Las organizaciones que ya disponen de capacidades de administración de certificados de nivel empresarial pueden plantearse la posibilidad de integrar sus soluciones locales con sus cargas de trabajo en la nube. Muchas soluciones locales de entidad emisora de certificados y de administración de certificados pueden integrarse con Key Vault utilizando la API REST y las identidades administradas.
Administración descentralizada de certificados
Un enfoque para ampliar las capacidades de administración de certificados de una organización consiste en descentralizar la emisión y administración de certificados a los equipos de aplicaciones e infraestructuras. Soluciones como Azure Key Vault permiten a una organización estandarizar tecnologías y procesos de administración de claves aceptables, sin centralizar la administración de esos procesos de administración de claves en un único equipo de operaciones. Se pueden usar varias estrategias para delegar responsabilidades clave de administración más cerca de los equipos de aplicaciones e infraestructuras.
Certificados administrados
Los sitios web orientados al público que requieren certificados de una autoridad de certificación pública pueden aprovechar los certificados administrados en los servicios PaaS de Azure, como Azure App Service o Azure Front Door. Los certificados de las autoridades de certificación integradas también pueden crearse, administrarse y rotarse en Azure Key Vault. Para obtener más información, vea los siguientes recursos:
- Dominios y certificados personalizados en Azure App Service
- Dominios personalizados en Azure Front Door
- Integración de Key Vault con la entidad emisora de certificados DigiCert
Automatización de la emisión de certificados en canalizaciones de CI/CD
Las organizaciones que adoptan los procesos Dev/Ops pueden automatizar la emisión de certificados como parte de sus canalizaciones de CI/CD. Este enfoque delega algunas responsabilidades de administración de certificados en los equipos de aplicaciones y les permite aprovisionar sus propios certificados mediante servicios nativos de Azure, como Azure DNS, Azure App Service y Azure Key Vault.
Administración de certificados de punto de conexión
Los certificados de punto de conexión se usan en cargas de trabajo IaaS, donde los servidores y servicios usan certificados para la autenticación. Dado que este escenario está asociado a las máquinas virtuales, las organizaciones pueden administrar estos certificados mediante las mismas herramientas de administración de la configuración o crear herramientas de automatización que se usan para administrar las configuraciones de las máquinas virtuales.