Descubra as práticas recomendadas do Azure Key Vault
O Azure Key Vault é uma ferramenta para armazenar e aceder a segredos em segurança. Um segredo é tudo aquilo cujo acesso deseja controlar rigidamente, como chaves de API, palavras-passe ou certificados. Um cofre é um grupo lógico de segredos.
Autenticação
Para fazer qualquer operação com o Cofre de Chaves, primeiro você precisa se autenticar nele. Há três maneiras de autenticar no Cofre da Chave:
Identidades gerenciadas para recursos do Azure: ao implantar um aplicativo em uma máquina virtual no Azure, você pode atribuir uma identidade à sua máquina virtual que tem acesso ao Cofre da Chave. Você também pode atribuir identidades a outros recursos do Azure. O benefício dessa abordagem é que o aplicativo ou serviço não está gerenciando a rotação do primeiro segredo. O Azure gira automaticamente o segredo do cliente principal de serviço associado à identidade. Recomendamos esta abordagem como prática recomendada.
Entidade de serviço e certificado: você pode usar uma entidade de serviço e um certificado associado que tenha acesso ao Cofre da Chave. Não recomendamos essa abordagem porque o proprietário do aplicativo ou desenvolvedor deve alternar o certificado.
Entidade de serviço e segredo: Embora você possa usar uma entidade de serviço e um segredo para autenticar no Cofre de Chaves, não recomendamos isso. É difícil girar automaticamente o segredo de inicialização usado para autenticar no Cofre de Chaves.
Encriptação de dados em trânsito
O Azure Key Vault impõe o protocolo TLS (Transport Layer Security) para proteger os dados quando eles estão viajando entre o Azure Key Vault e os clientes. Os clientes negociam uma conexão TLS com o Azure Key Vault. O TLS fornece autenticação forte, privacidade e integridade da mensagem (permitindo a deteção de adulteração, intercetação e falsificação de mensagens), interoperabilidade, flexibilidade de algoritmo e facilidade de implantação e uso.
O Perfect Forward Secrecy (PFS) protege as conexões entre os sistemas clientes dos clientes e os serviços de nuvem da Microsoft por chaves exclusivas. As conexões também usam comprimentos de chave de criptografia de 2.048 bits baseados em RSA. Essa combinação torna difícil para alguém intercetar e acessar dados que estão em trânsito.
Práticas recomendadas do Azure Key Vault
Usar cofres de chaves separados: Recomendado o uso de um cofre por aplicativo e por ambiente (Desenvolvimento, Pré-produção e Produção). Esse padrão ajuda você a não compartilhar segredos entre ambientes e também reduz a ameaça se houver uma violação.
Controle o acesso ao seu cofre: os dados do Key Vault são confidenciais e críticos para os negócios, você precisa proteger o acesso aos seus cofres de chaves, permitindo apenas aplicativos e usuários autorizados.
Backup: Crie backups regulares do seu cofre ao atualizar/excluir/criar objetos dentro de um cofre.
Registo: certifique-se de que ativa o registo e os alertas.
Opções de recuperação: ative a proteção de exclusão suave e limpeza se quiser se proteger contra a exclusão forçada do segredo.