Compartilhar via

Criptografia e gerenciamento de chaves no Azure

  • Artigo

A criptografia é uma etapa vital para garantir a privacidade de dados, a conformidade e a residência de dados no Microsoft Azure. Também é uma das preocupações de segurança mais importantes para muitas empresas. Esta seção abordas considerações de design e recomendações para criptografia e gerenciamento de chaves.

Considerações sobre o design

  • Defina a assinatura e os limites de escala conforme eles se aplicam ao Azure Key Vault.

    O Key Vault tem limites de transação para chaves e segredos. Para limitar as transações por cofre em um determinado período de tempo, confira Limites do Azure.

    O Key Vault atende a um limite de segurança porque as permissões de acesso para chaves, segredos e certificados estão no nível do cofre. As atribuições de política de acesso do Key Vault concedem separadamente as permissões a chaves, segredos ou certificados. Elas não aceitam permissões granulares no nível do objeto, como uma chave, segredo ou gerenciamento de chave de certificado específico.

  • Isole segredos específicos a aplicativo e específicos a carga de trabalho e segredos compartilhados, conforme necessário ao acesso de controle.

  • Otimize SKUs Premium em que as chaves protegidas por HSM (Hardware Security Module) são necessárias.

    Os HSMs subjacentes são compatíveis com o FIPS 140-2 nível 2. Gerencie o HSM dedicado do Azure para conformidade com o FIPS 140-2 Nível 3, considerando os cenários permitidos.

  • Gerencie o revezamento de chaves e a expiração do segredo.

  • Use os certificados do Key Vault para gerenciar a aquisição e a assinatura de certificados. Defina alertas, notificações e renovações de certificados automatizados.

  • Defina os requisitos de recuperação de desastre para chaves, certificados e segredos.

  • Defina recursos de replicação de serviço e failover do Key Vault. Defina disponibilidade e redundância.

  • Monitore a chave, o certificado e o uso do segredo.

    Detecte o acesso não autorizado usando um cofre de chaves ou o workspace do Log Analytics do Azure Monitor. Para obter mais informações, confira Monitoramento e alertas para o Azure Key Vault.

  • Delegue instanciação e acesso privilegiado do Key Vault. Para obter mais informações, confira Segurança do Azure Key Vault.

  • Defina os requisitos para usar chaves gerenciadas pelo cliente para mecanismos de criptografia nativos, como a criptografia do Armazenamento do Microsoft Azure:

    • Chaves gerenciadas pelo cliente
    • Criptografia de disco inteiro para VMs (máquinas virtuais)
    • Criptografia de dados em trânsito
    • Criptografia de dados em repouso

Recomendações sobre design

  • Use um modelo do Azure Key Vault federado para evitar limites de escala de transação.

  • O RBAC do Azure é o sistema de autorização recomendado para o plano de dados do Azure Key Vault. Consulte Controle de acesso baseado em função do Azure (RBAC do Azure) versus políticas de acesso (legado) para obter mais informações.

  • Provisione o Azure Key Vault com as políticas de exclusão temporária e de limpeza habilitadas para permitir a proteção de retenção para objetos excluídos.

  • Siga um modelo de privilégios mínimos, limitando a autorização para excluir permanentemente chaves, segredos e certificados a funções personalizadas especializadas do Microsoft Entra.

  • Automatize o processo de gerenciamento e renovação de certificados com autoridades de certificação públicas para facilitar a administração.

  • Estabeleça um processo automatizado para o revezamento de chave e certificado.

  • Habilite pontos de extremidade de serviço de rede virtual e firewall no cofre para controlar o acesso ao cofre de chaves.

  • Use o workspace do Log Analytics da plataforma central do Azure Monitor para auditoria de uso de chave, certificado e segredo em cada instância do Key Vault.

  • Delega instanciação do Key Vault e acesso privilegiado e uso do Azure Policy para aplicar configuração em conformidade e consistente.

  • Use as chaves gerenciadas pela Microsoft para a funcionalidade de criptografia de entidade de segurança como padrão e use chaves gerenciadas pelo cliente quando necessário.

  • Não use instâncias centralizadas do Key Vault para chaves ou segredos de aplicativo.

  • Para evitar o compartilhamento secreto entre ambientes, não compartilhe instâncias do Key Vault entre aplicativos.