Projetar uma solução para gerenciar segredos, chaves e certificados
No Azure, as chaves de criptografia podem ser gerenciadas pela plataforma ou pelo cliente.
Chaves gerenciadas por plataforma (PMKs) são chaves de criptografia que são geradas, armazenadas e gerenciadas inteiramente pelo Azure. Os clientes não interagem com PMKs. As chaves usadas para a Criptografia de Dados do Azure em repouso, por exemplo, são PMKs por padrão.
As chaves gerenciadas pelo cliente (CMK), por outro lado, são aquelas que podem ser lidas, criadas, excluídas, atualizadas e/ou administradas por um ou mais clientes. As chaves armazenadas em um cofre de chaves de propriedade do cliente ou módulo de segurança de hardware (HSM) são CMKs. Bring Your Own Key (BYOK) é um cenário de CMK no qual um cliente importa (traz) chaves de um local de armazenamento externo para um serviço de gerenciamento de chaves do Azure (consulte o Azure Key Vault: Bring your own key specification).
Um tipo específico de chave gerenciada pelo cliente é a "chave de criptografia de chave" (KEK). Um KEK é uma chave primária que controla o acesso a uma ou mais chaves de criptografia que são criptografadas.
As chaves gerenciadas pelo cliente podem ser armazenadas no local ou, mais comumente, em um serviço de gerenciamento de chaves na nuvem.
Serviços de gerenciamento de chaves do Azure
O Azure oferece várias opções para armazenar e gerenciar suas chaves na nuvem, incluindo o Azure Key Vault, o Azure Managed HSM, o HSM dedicado e o HSM de pagamentos. Essas opções diferem em termos de nível de conformidade FIPS, sobrecarga de gerenciamento e aplicativos pretendidos.
Azure Key Vault (Standard Tier): um serviço de gerenciamento de chaves na nuvem multilocatário validado pelo FIPS 140-2 Nível 1 que também pode ser usado para armazenar segredos e certificados. As chaves armazenadas no Cofre de Chaves do Azure são protegidas por software e podem ser usadas para criptografia em repouso e aplicativos personalizados. O Key Vault fornece uma API moderna e a maior variedade de implantações e integrações regionais com os Serviços do Azure. Para obter mais informações, consulte Sobre o Azure Key Vault.
Azure Key Vault (Camada Premium): uma oferta de HSM multilocatário validada pelo FIPS 140-2 Nível 2 que pode ser usada para armazenar chaves em um limite de hardware seguro. A Microsoft gerencia e opera o HSM subjacente, e as chaves armazenadas no Azure Key Vault Premium podem ser usadas para criptografia em repouso e aplicativos personalizados. O Key Vault Premium também fornece uma API moderna e a maior variedade de implantações e integrações regionais com os Serviços do Azure. Para obter mais informações, consulte Sobre o Azure Key Vault.
Azure Managed HSM: uma oferta de HSM de inquilino único validada pelo FIPS 140-2 Nível 3 que dá aos clientes controlo total de um HSM para encriptação em repouso, SSL sem chave e aplicações personalizadas. Os clientes recebem um pool de três partições HSM — juntas atuando como um dispositivo HSM lógico e altamente disponível — encabeçadas por um serviço que expõe a funcionalidade de criptografia por meio da API do Cofre de Chaves. A Microsoft lida com o provisionamento, patching, manutenção e failover de hardware dos HSMs, mas não tem acesso às chaves em si, porque o serviço é executado dentro da Infraestrutura de Computação Confidencial do Azure. O HSM gerenciado é integrado com os serviços PaaS do Azure SQL, Armazenamento do Azure e Proteção de Informações do Azure e oferece suporte para TLS sem chave com F5 e Nginx. Para obter mais informações, consulte O que é o Azure Key Vault Managed HSM?
HSM Dedicado do Azure: uma oferta de HSM bare metal validada pelo FIPS 140-2 Nível 3, que permite aos clientes alugar um dispositivo HSM de uso geral que reside em datacenters da Microsoft. O cliente tem propriedade total e total sobre o dispositivo HSM e é responsável por corrigir e atualizar o firmware quando necessário. A Microsoft não tem permissões no dispositivo ou acesso ao material da chave e o HSM Dedicado não está integrado a nenhuma oferta de PaaS do Azure. Os clientes podem interagir com o HSM usando as APIs PKCS#11, JCE/JCA e KSP/CNG. Esta oferta é mais útil para cargas de trabalho legadas de elevação e mudança, PKI, SSL Offloading e Keyless TLS (as integrações suportadas incluem F5, Nginx, Apache, Palo Alto, IBM GW e muito mais), aplicações OpenSSL, Oracle TDE e Azure SQL TDE IaaS. Para obter mais informações, consulte O que é o Azure Key Vault Managed HSM?
Azure Payments HSM: Uma oferta bare metal validada pelo FIPS 140-2 Nível 3, PCI HSM v3, que permite aos clientes alugar um dispositivo HSM de pagamento em datacenters da Microsoft para operações de pagamento, incluindo processamento de pagamentos, emissão de credenciais de pagamento, proteção de chaves e dados de autenticação e proteção de dados confidenciais. O serviço é compatível com PCI DSS e PCI 3DS. O Azure Payment HSM oferece HSMs de locatário único para que os clientes tenham controle administrativo completo e acesso exclusivo ao HSM. Depois que o HSM é alocado a um cliente, a Microsoft não tem acesso aos dados do cliente. Da mesma forma, quando o HSM não é mais necessário, os dados do cliente são zerados e apagados assim que o HSM é liberado, para garantir total privacidade e segurança. Para obter mais informações, consulte Sobre o HSM de pagamento do Azure.
Para obter uma visão geral dos tipos de segredos, chaves e certificados com os quais você pode trabalhar no cofre de chaves, consulte Visão geral de chaves, segredos e certificados do Cofre de Chaves do Azure
Práticas recomendadas para usar o Cofre da Chave
Use cofres de chaves separados
Nossa recomendação é usar um cofre por aplicativo e por ambiente (desenvolvimento, pré-produção e produção), por região. Isso ajuda você a não compartilhar segredos entre ambientes e regiões. Reduzirá igualmente a ameaça em caso de violação.
Por que recomendamos cofres de chaves separados
Os cofres de chaves definem limites de segurança para segredos armazenados. Agrupar segredos no mesmo cofre aumenta o raio de explosão de um evento de segurança porque os ataques podem ser capazes de acessar segredos em todas as preocupações. Para mitigar o acesso entre preocupações, considere quais segredos um aplicativo específico deve ter acesso e, em seguida, separe seus cofres de chaves com base nessa delimitação. Separar os cofres de chaves por aplicativo é o limite mais comum. Os limites de segurança, no entanto, podem ser mais granulares para aplicativos grandes, por exemplo, por grupo de serviços relacionados.
Controle o acesso ao seu cofre
Chaves de criptografia e segredos como certificados, cadeias de conexão e senhas são confidenciais e essenciais para os negócios. Você precisa proteger o acesso aos seus cofres de chaves, permitindo apenas aplicativos e usuários autorizados. Os recursos de segurança do Cofre da Chave do Azure fornecem uma visão geral do modelo de acesso ao Cofre da Chave. Ele explica a autenticação e a autorização. Também descreve como proteger o acesso aos seus cofres de chaves.
As sugestões para controlar o acesso ao seu cofre são as seguintes:
- Bloqueie o acesso à sua assinatura, grupo de recursos e cofres de chaves (controle de acesso baseado em função (RBAC)).
- Crie políticas de acesso para cada cofre.
- Use o princípio de acesso com privilégios mínimos para conceder acesso.
- Ative o firewall e os pontos de extremidade do serviço de rede virtual.
Ativar a proteção de dados para o seu cofre
Ative a proteção contra limpeza para proteger contra a exclusão maliciosa ou acidental dos segredos e do cofre de chaves, mesmo depois que a exclusão suave estiver ativada.
Para obter mais informações, consulte Visão geral da exclusão suave do Azure Key Vault
Ativar o registo
Ative o registo no seu cofre. Além disso, configure alertas.
Backup
A proteção contra limpeza impede a exclusão maliciosa e acidental de objetos do cofre por até 90 dias. Em cenários em que a proteção contra limpeza não é uma opção possível, recomendamos objetos de backup do cofre, que não podem ser recriados a partir de outras fontes, como chaves de criptografia geradas dentro do cofre.
Para obter mais informações sobre backup, consulte Backup e restauração do Cofre de Chaves do Azure
Soluções multilocatárias e Key Vault
Uma solução multilocatária é construída em uma arquitetura onde os componentes são usados para atender vários clientes ou locatários. As soluções multilocatárias são frequentemente usadas para dar suporte a soluções de software como serviço (SaaS). Se estiver a criar uma solução multilocatária que inclua o Cofre da Chave, consulte Multilocação e Cofre da Chave do Azure.