Práticas recomendadas para gerenciamento de segredos no Key Vault
O Azure Key Vault permite armazenar com segurança credenciais de serviço ou aplicativo, como senhas e chaves de acesso como segredos. Todos os segredos no seu cofre de chaves são encriptados com uma chave de software. Ao usar o Cofre de Chaves, você não precisa mais armazenar informações de segurança em seus aplicativos. Não ter que armazenar informações de segurança em aplicativos elimina a necessidade de tornar essas informações parte do código.
Exemplos de segredos que devem ser armazenados no Cofre da Chave:
- Segredos do aplicativo cliente
- Cadeias de ligação
- Palavras-chave
- Chaves de acesso (Cache Redis, Hubs de Eventos do Azure, Azure Cosmos DB)
- Chaves SSH
Quaisquer outras informações confidenciais, como endereços IP, nomes de serviço e outras definições de configuração, devem ser armazenadas na Configuração do Aplicativo do Azure em vez de no Cofre da Chave.
Cada cofre de chaves individual define limites de segurança para segredos. Para um cofre de chave único por aplicativo, por região, por ambiente, recomendamos que você forneça isolamento granular de segredos para um aplicativo.
Para obter mais informações sobre as práticas recomendadas para o Cofre de Chaves, consulte Práticas recomendadas para usar o Cofre de Chaves.
Configuração e armazenamento
Armazene as informações de credenciais necessárias para acessar o banco de dados ou serviço em valor secreto. No caso de credenciais compostas, como nome de usuário/senha, elas podem ser armazenadas como uma cadeia de conexão ou objeto JSON. Outras informações necessárias para o gerenciamento devem ser armazenadas em tags, ou seja, configuração de rotação.
Para obter mais informações sobre segredos, consulte Sobre segredos do Cofre da Chave do Azure.
Rotação de segredos
Os segredos geralmente são armazenados na memória do aplicativo como variáveis de ambiente ou definições de configuração para todo o ciclo de vida do aplicativo, o que os torna sensíveis à exposição indesejada. Como os segredos são sensíveis a vazamentos ou exposição, é importante rodá-los com frequência, pelo menos a cada 60 dias.
Para obter mais informações sobre o processo de rotação de segredos, consulte Automatizar a rotação de um segredo para recursos que têm dois conjuntos de credenciais de autenticação.
Acesso e isolamento de rede
Você pode reduzir a exposição de seus cofres especificando quais endereços IP têm acesso a eles. Configure seu firewall para permitir que apenas aplicativos e serviços relacionados acessem segredos no cofre para reduzir a capacidade dos invasores de acessar segredos.
Para obter mais informações sobre segurança de rede, consulte Configurar configurações de rede do Cofre da Chave do Azure.
Além disso, os aplicativos devem seguir o acesso menos privilegiado, tendo acesso apenas a segredos de leitura. O acesso a segredos pode ser controlado com políticas de acesso ou com o controle de acesso baseado em função do Azure.
Para obter mais informações sobre controle de acesso no Cofre de Chaves do Azure, consulte:
- Fornecer acesso a chaves, certificados e segredos do Cofre da Chave com o controle de acesso baseado em função do Azure
- Atribuir uma política de acesso do Key Vault
Limites de serviço e armazenamento em cache
O Cofre de Chaves foi originalmente criado com limites de limitação especificados nos limites de serviço do Cofre de Chaves do Azure. Para maximizar suas taxas de transferência, aqui estão duas práticas recomendadas recomendadas:
- Armazene segredos em cache em seu aplicativo por pelo menos oito horas.
- Implemente a lógica de repetição de back-off exponencial para lidar com cenários em que os limites de serviço são excedidos.
Para obter mais informações sobre diretrizes de limitação, consulte Diretrizes de limitação do Cofre de Chaves do Azure.
Monitorização
Para monitorizar o acesso aos seus segredos e ao seu ciclo de vida, ative o registo do Cofre da Chave. Use o Azure Monitor para monitorar todas as atividades secretas em todos os seus cofres em um só lugar. Ou use a Grade de Eventos do Azure para monitorar o ciclo de vida dos segredos, pois ela tem fácil integração com os Aplicativos Lógicos do Azure e o Azure Functions.
Para obter mais informações, consulte:
- Azure Key Vault como origem da Grade de Eventos
- Registo do Azure Key Vault
- Monitoramento e alertas para o Azure Key Vault
Proteção de backup e limpeza
Ative a proteção contra limpeza para se proteger contra a exclusão maliciosa ou acidental dos segredos. Em cenários em que a proteção contra limpeza não é uma opção possível, recomendamos segredos de backup , que não podem ser recriados de outras fontes.