Explore Azure Key Vault

  • 3 minutos

O serviço Azure Key Vault dá suporte a dois tipos de contêineres: cofres e pools de módulos de segurança de hardware gerenciado (HSM). Os cofres suportam o armazenamento de software, chaves apoiadas por HSM, segredos e certificados. Os pools de HSM gerenciados suportam apenas chaves apoiadas por HSM.

O Azure Key Vault ajuda a resolver os seguintes problemas:

  • Gerenciamento de segredos: Cofre de Chaves do Azure pode ser usado para armazenar e controlar com segurança o acesso a tokens, senhas, certificados, chaves de API e outros segredos

  • Key Management: Azure Key Vault também pode ser usado como uma solução de Gerenciamento de Chaves. O Azure Key Vault facilita a criação e o controle das chaves de criptografia usadas para criptografar seus dados.

  • Gerenciamento de Certificados: Azure Key Vault também é um serviço que permite provisionar, gerenciar e implantar facilmente certificados SSL/TLS (Secure Sockets Layer/Transport Layer Security) públicos e privados para uso com o Azure e seus recursos internos conectados.

O Azure Key Vault tem duas camadas de serviço: Standard, que criptografa com uma chave de software, e uma camada Premium, que inclui chaves protegidas pelo módulo de segurança de hardware (HSM). Para ver uma comparação entre as camadas Standard e Premium, consulte a página de preços do Azure Key Vault.

Principais benefícios de usar o Azure Key Vault

  • Segredos de aplicativos centralizados: Centralizar o armazenamento de segredos de aplicativos no Cofre de Chaves do Azure permite controlar sua distribuição. Por exemplo, em vez de armazenar a cadeia de conexão no código do aplicativo, você pode armazená-la com segurança no Cofre da Chave. Seus aplicativos podem acessar com segurança as informações de que precisam usando URIs. Esses URIs permitem que os aplicativos recuperem versões específicas de um segredo.

  • Armazene segredos e chaves com segurança: O acesso a um cofre de chaves requer autenticação e autorização adequadas antes que um chamador (usuário ou aplicativo) possa obter acesso. A autenticação é feita através do Microsoft Entra ID. A autorização pode ser feita por meio do controlo de acesso baseado em função do Azure (Azure RBAC) ou da política de acesso do Azure Key Vault. O RBAC do Azure pode ser usado para o gerenciamento dos cofres e para acessar dados armazenados em um cofre, enquanto a política de acesso ao cofre de chaves só pode ser usada ao tentar acessar dados armazenados em um cofre. Os Cofres de Chaves do Azure podem ser protegidos por software ou, com a camada Premium do Azure Key Vault, protegidos por hardware por HSMs (módulos de segurança de hardware).

  • Monitorar o acesso e o uso: Pode monitorizar a atividade ativando o registo de logs para os seus cofres. Você tem controle sobre seus logs e pode protegê-los restringindo o acesso e também pode excluir logs que não precisa mais. O Azure Key Vault pode ser configurado para:

    • Arquivar em uma conta de armazenamento.
    • Transmita para um hub de eventos.
    • Envie os logs para o Azure Monitor logs.

  • Administração simplificada de segredos de aplicativos: As informações de segurança devem ser protegidas, devem seguir um ciclo de vida e devem estar altamente disponíveis. O Azure Key Vault simplifica o processo de atender a esses requisitos:

    • Eliminando a necessidade de conhecimento interno dos módulos de segurança de hardware
    • Escalonamento em curto prazo para atender aos picos de uso da sua organização.
    • Replicar o conteúdo do Cofre da Chave dentro de uma região e para uma região secundária. A replicação de dados garante alta disponibilidade e elimina a necessidade de qualquer ação do administrador para acionar o failover.
    • Fornecendo opções de administração padrão do Azure por meio do portal, da CLI do Azure e do PowerShell.
    • Automatização de determinadas tarefas em certificados comprados de autoridades de certificação públicas, como registro e renovação.