Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Key Vault protege chaves criptográficas, certificados (e as chaves privadas associadas aos certificados) e segredos (como cadeias de conexão e senhas) na nuvem. Ao armazenar dados confidenciais e críticos para os negócios, no entanto, você deve tomar medidas para maximizar a segurança de seus cofres e dos dados armazenados neles.
As recomendações de segurança neste artigo implementam os princípios do Zero Trust: "Verificar explicitamente", "Usar acesso com privilégios mínimos" e "Assumir violação". Para obter orientações abrangentes sobre Zero Trust, consulte o Centro de Orientação Zero Trust.
Este artigo fornece recomendações de segurança para ajudar a proteger a sua implementação no Azure Key Vault.
Segurança específica do serviço
O Azure Key Vault apresenta considerações de segurança únicas relacionadas com a arquitetura do cofre e o uso adequado do serviço para armazenar materiais criptográficos.
Arquitetura do cofre de chaves
Use um Cofre de Chaves por aplicativo, região e ambiente: crie Cofres de Chaves separados para ambientes de desenvolvimento, pré-produção e produção para reduzir o impacto de violações.
Os cofres de chaves definem limites de segurança para segredos armazenados. Agrupar segredos no mesmo cofre aumenta o raio de explosão de um evento de segurança, pois os ataques podem conseguir aceder a segredos através de diferentes áreas. Para mitigar o acesso entre preocupações, considere quais segredos um aplicativo específico deve ter acesso e, em seguida, separe seus cofres de chaves com base nessa delimitação. Separar os cofres de chaves por aplicativo é o limite mais comum. Os limites de segurança, no entanto, podem ser mais granulares para aplicativos grandes, por exemplo, por grupo de serviços relacionados.
Use um Cofre de Chaves por locatário em soluções multilocatário: Para soluções SaaS multilocatário, use um Cofre de Chaves separado para cada locatário para manter o isolamento de dados. Esta é a abordagem recomendada para o isolamento seguro dos dados e cargas de trabalho dos clientes. Veja Multitenância e Azure Key Vault.
Armazenamento de objetos no Cofre da Chave
Não use o Cofre da Chave como um armazenamento de dados para armazenar configurações de clientes ou configurações de serviço: os serviços devem usar o Armazenamento do Azure com criptografia em repouso ou o Gerenciador de configuração do Azure. O armazenamento tem mais desempenho nesses cenários.
Não armazene certificados (de propriedade do cliente ou serviço) como segredos: os certificados de propriedade do serviço devem ser armazenados como certificados do Cofre da Chave e configurados para rotação automática. Para obter mais informações, consulte Azure key vault: Certificates e Compreender a autorrotação no Azure Key Vault.
- O conteúdo do cliente (excluindo segredos e certificados) não deve ser armazenado no Cofre da Chave: o Cofre da Chave não é um armazenamento de dados e não foi criado para ser dimensionado como um armazenamento de dados. Em vez disso, use um armazenamento de dados adequado, como o Cosmos DB ou o Armazenamento do Azure. Os clientes têm a opção de BYOK (Bring Your Own Key) para criptografia em repouso. Essa chave pode ser armazenada no Cofre de Chaves do Azure para criptografar os dados no Armazenamento do Azure.
Segurança de Rede
Reduzir a exposição da rede é fundamental para proteger o Azure Key Vault contra acessos não autorizados. Configure restrições de rede com base nos requisitos e no caso de uso da sua organização.
Esses recursos de segurança de rede são listados de recursos mais restritos para menos restritos. Escolha a configuração que melhor se adapta ao caso de uso da sua organização.
Desabilitar o acesso à rede pública e usar somente Pontos de Extremidade Privados: implante o Link Privado do Azure para estabelecer um ponto de acesso privado de uma rede virtual para o Cofre de Chaves do Azure e evitar a exposição à Internet pública. Para obter as etapas de implementação, consulte Integrar o Cofre da Chave com o Azure Private Link.
- Alguns cenários de clientes exigem serviços confiáveis da Microsoft para contornar o firewall, nesses casos o cofre pode precisar ser configurado para permitir Serviços Microsoft Confiáveis. Para obter detalhes completos, consulte Segurança de rede: Firewall do Cofre de Chaves Ativado (Somente Serviços Confiáveis).
Ativar o Firewall do Cofre de Chaves: limite o acesso a endereços IP estáticos públicos ou às suas redes virtuais. Para obter detalhes completos, consulte Segurança de rede do Cofre de Chaves: configurações de firewall.
- Alguns cenários de clientes exigem serviços confiáveis da Microsoft para contornar o firewall, nesses casos o cofre pode precisar ser configurado para permitir Serviços Microsoft Confiáveis.
Use o Perímetro de Segurança de Rede: Defina um limite lógico de isolamento de rede para recursos PaaS (por exemplo, Azure Key Vault, Azure Storage e SQL Database) que sejam implementados fora do perímetro virtual da rede da sua organização e/ou endereços IP públicos estáticos. Para obter detalhes completos, consulte Segurança de rede: Perímetro de segurança de rede)
- "publicNetworkAccess": "SecuredByPerimeter" substitui "Permitir que serviços confiáveis da Microsoft ignorem o firewall", o que significa que alguns cenários que exigem essa confiança não funcionarão.
TLS e HTTPS
O Azure Key Vault suporta versões dos protocolos TLS 1.2 e 1.3 para garantir uma comunicação segura entre os clientes e o serviço.
- Impor o controlo da versão TLS: A interface frontal do Key Vault (plano de dados) é um servidor multi-inquilino onde cofres de chaves de diferentes clientes podem partilhar o mesmo endereço IP público. Para garantir o isolamento, cada pedido HTTP é autenticado e autorizado de forma independente. O protocolo HTTPS permite que os clientes participem na negociação do TLS, e os clientes podem aplicar a versão do TLS para garantir que toda a ligação utiliza o nível de proteção correspondente. Consulte o registo do Key Vault para exemplos de consultas Kusto para monitorizar versões TLS usadas pelos clientes.
Gestão de identidades e acessos
O Azure Key Vault utiliza o Microsoft Entra ID para autenticação. O acesso é controlado através de duas interfaces: o plano de controlo (para gerir o próprio Key Vault) e o plano de dados (para trabalhar com chaves, segredos e certificados). Para detalhes sobre o modelo de acesso e os endpoints, consulte Azure RBAC para operações no plano de dados do Key Vault.
Habilitar identidades gerenciadas: use identidades gerenciadas do Azure para todas as conexões de aplicativo e serviço ao Cofre da Chave do Azure para eliminar credenciais codificadas. As identidades gerenciadas ajudam a proteger a autenticação, ao mesmo tempo em que eliminam a necessidade de credenciais explícitas. Para métodos e cenários de autenticação, consulte autenticação Azure Key Vault.
Usar controle de acesso baseado em função: use o RBAC (Controle de Acesso Baseado em Função) do Azure para gerenciar o acesso ao Cofre da Chave do Azure. Para obter mais informações, consulte RBAC do Azure para operações de plano de dados do Cofre de Chaves.
- Não utilize políticas de acesso legadas: Políticas de acesso legadas têm vulnerabilidades de segurança conhecidas e não suportam Gestão de Identidade Privilegiada (PIM), não devem ser usadas para dados críticos e cargas de trabalho. O RBAC do Azure atenua potenciais riscos de acesso não autorizado ao Cofre da Chave. Consulte Controle de acesso baseado em função do Azure (Azure RBAC) versus políticas de acesso (legado).
Importante
O modelo de permissões RBAC permite atribuições de funções ao nível do cofre para acesso persistente e atribuições elegíveis (JIT) para operações privilegiadas. As atribuições de âmbito de objeto suportam apenas operações de leitura; Operações administrativas como controlo de acesso à rede, monitorização e gestão de objetos requerem permissões ao nível do cofre. Para isolamento seguro entre as equipas de aplicação, use um Key Vault por aplicação.
Atribuir funções privilegiadas just-in-time (JIT): Use o Azure Privileged Identity Management (PIM) para atribuir funções Azure RBAC JIT elegíveis para administradores e operadores de Key Vault. Consulte Visão geral do Privileged Identity Management (PIM) para obter detalhes.
- Exigir aprovações para ativação de função privilegiada: adicione uma camada extra de segurança para impedir o acesso não autorizado, garantindo que pelo menos um aprovador seja necessário para ativar funções JIT. Consulte Definir configurações de função do Microsoft Entra no Privileged Identity Management.
- Impor autenticação multifator para ativação de função: exija MFA para ativar funções JIT para operadores e administradores. Consulte Autenticação multifator do Microsoft Entra.
Ativar Políticas de Acesso Condicional do Microsoft Entra: o Cofre de Chaves suporta políticas de Acesso Condicional do Microsoft Entra para aplicar controlos de acesso com base em condições como a localização do utilizador ou o dispositivo. Para obter mais informações, consulte Visão geral do Acesso Condicional.
Aplicar o princípio do menor privilégio: limite o número de usuários com funções administrativas e garanta que os usuários recebam apenas as permissões mínimas necessárias para sua função. Consulte Melhorar a segurança com o princípio do menor privilégio
Proteção de Dados
Proteger os dados armazenados no Azure Key Vault requer ativar a eliminação suave, proteção contra eliminação definitiva e a implementação de rotação automática de materiais criptográficos.
Ativar exclusão suave: verifique se a exclusão suave está habilitada para que os objetos excluídos do Cofre da Chave possam ser recuperados dentro de um período de retenção de 7 a 90 dias. Consulte Visão geral da exclusão suave do Azure Key Vault.
Ativar a proteção contra limpeza: habilite a proteção contra limpeza para proteger contra a exclusão acidental ou mal-intencionada de objetos do Cofre da Chave, mesmo depois que a exclusão suave estiver habilitada. Consulte Visão geral de exclusão suave do Azure Key Vault: Proteção contra limpeza
Implementar rotação automática para ativos criptográficos: configure a rotação automática de chaves, segredos e certificados para minimizar o risco de comprometimento e garantir a conformidade com as políticas de segurança. A rotação regular de materiais criptográficos é uma prática de segurança crítica. Consulte Noções básicas sobre rotação automática no Cofre de Chaves do Azure, Configurar rotação automática de chaves, Configurar rotação automática de certificados, Automatizar rotação de segredos para recursos com um conjunto de credenciais de autenticação e Automatizar rotação de segredos para recursos com dois conjuntos de credenciais de autenticação.
Conformidade e governança
Auditorias regulares de conformidade e políticas de governação garantem que a sua implementação no Key Vault cumpre os padrões de segurança e os requisitos organizacionais.
- Usar a Política do Azure para impor a configuração: configure a Política do Azure para auditar e impor configurações seguras para o Cofre da Chave do Azure e configure alertas para desvios da política. Consulte Controles de conformidade regulatória da política do Azure para o Azure Key Vault.
Registos e Deteção de Ameaças
Registos e monitorização abrangentes permitem a deteção de atividades suspeitas e o cumprimento dos requisitos de auditoria.
Habilitar registro de auditoria: o registro em log do Cofre de Chaves salva informações sobre as operações realizadas no cofre. Para obter detalhes completos, consulte Registro em log do Cofre da Chave.
Habilitar o Microsoft Defender for Key Vault: habilite o Microsoft Defender for Key Vault para monitorar e alertar sobre atividades suspeitas. Para obter detalhes, consulte Introdução ao Microsoft Defender for Key Vault.
Habilitar alertas de log para eventos de segurança: configure alertas para serem notificados quando eventos críticos forem registrados, como falhas de acesso ou exclusões secretas. Consulte Monitoramento e alertas para o Azure Key Vault.
Monitorar e alertar: integre o Cofre de Chaves com a Grade de Eventos para receber notificações sobre alterações em chaves, certificados ou segredos. Para obter detalhes, consulte Monitorando o Cofre da Chave com a Grade de Eventos do Azure.
Cópia de Segurança e Recuperação
Backups regulares garantem a continuidade do negócio e protegem contra perda de dados devido a eliminações acidentais ou maliciosas.
Habilitar backup nativo para o Cofre de Chaves do Azure: configure e use o recurso de backup nativo do Cofre de Chaves do Azure para fazer backup de segredos, chaves e certificados, garantindo a capacidade de recuperação. Consulte Backup do Cofre de Chaves do Azure.
Garanta backups de segredos que não podem ser recriados: faça backup de objetos do Cofre da Chave (como chaves de criptografia) que não podem ser recriados de outras fontes. Consulte Backup do Cofre de Chaves do Azure.
Testar procedimentos de backup e recuperação: para verificar a eficácia dos processos de backup, teste regularmente a restauração de segredos, chaves e certificados do Key Vault. Consulte Backup do Cofre de Chaves do Azure.
Artigos relacionados com segurança
Para melhores práticas de segurança específicas de chaves, segredos e certificados, veja:
- Proteja as suas chaves no Azure Key Vault - Melhores práticas de segurança específicas para chaves, incluindo rotação, proteção HSM e BYOK (Traga a Sua Própria Chave)
- Proteja os seus segredos do Azure Key Vault - Melhores práticas de segurança específicas para segredos, incluindo rotação, cache e monitorização
- Proteja os seus certificados Azure Key Vault - Melhores práticas de segurança específicas para certificados, incluindo gestão do ciclo de vida, renovação e integração com CA