Descubra as práticas recomendadas do Azure Key Vault
O Azure Key Vault é uma ferramenta para armazenar e acessar segredos com segurança. Um segredo é qualquer coisa que você queira controlar rigorosamente o acesso, como chaves de API, senhas ou certificados. Um cofre é um grupo lógico de segredos.
Autenticação
Para fazer qualquer operação com o Cofre de Chaves, primeiro você precisa se autenticar nele. Há três maneiras de autenticar no Cofre da Chave:
Identidades gerenciadas para recursos do Azure: quando você implanta um aplicativo em uma máquina virtual no Azure, pode atribuir uma identidade à sua máquina virtual que tem acesso ao Cofre da Chave. Você também pode atribuir identidades a outros recursos do Azure. O benefício dessa abordagem é que o aplicativo ou serviço não está gerenciando a rotação do primeiro segredo. O Azure gira automaticamente o segredo do cliente principal de serviço associado à identidade. Recomendamos esta abordagem como prática recomendada.
Entidade de serviço ede certificado: pode utilizar uma entidade de serviço e um certificado associado que tenha acesso ao Cofre de Chaves. Não recomendamos essa abordagem porque o proprietário do aplicativo ou desenvolvedor deve alternar o certificado.
Entidade de serviço esegredo: Embora possa usar uma entidade de serviço e um segredo para autenticar no Cofre de Chaves, não recomendamos isso. É difícil rodar automaticamente o segredo de inicialização usado para autenticar no Azure Key Vault.
Encriptação dos dados em trânsito
O Azure Key Vault impõe o protocolo TLS (Transport Layer Security) para proteger os dados quando eles estão viajando entre o Azure Key Vault e os clientes. Os clientes negociam uma conexão TLS com o Azure Key Vault. O TLS fornece autenticação forte, privacidade e integridade da mensagem (permitindo a deteção de adulteração, intercetação e falsificação de mensagens), interoperabilidade, flexibilidade de algoritmo e facilidade de implantação e uso.
O Perfect Forward Secrecy (PFS) protege as conexões entre os sistemas clientes dos clientes e os serviços de nuvem da Microsoft por chaves exclusivas. As conexões também usam comprimentos de chave de criptografia de 2.048 bits baseados em RSA. Essa combinação torna difícil para alguém intercetar e acessar dados que estão em trânsito.
Práticas recomendadas do Azure Key Vault
Use cofres de chaves separados: É recomendado usar um cofre por aplicação para cada ambiente (Desenvolvimento, Pré-produção e Produção). Esse padrão ajuda você a não compartilhar segredos entre ambientes e também reduz a ameaça se houver uma violação.
Controle o acesso ao seu cofre: Os dados do Cofre de Chaves são confidenciais e críticos para o negócio, logo é necessário proteger o acesso, permitindo apenas aplicações e utilizadores autorizados.
Backup: Crie cópias de segurança regulares do seu cofre ao atualizar, excluir ou criar objetos dentro do cofre.
Registo: Certifique-se de ativar o registo e os alertas.
Opções de recuperação: Ative de exclusão suave e limpe a proteção se quiser se proteger contra a exclusão forçada do segredo.