Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las claves de Azure Key Vault protegen las claves criptográficas usadas para las operaciones de cifrado, firmas digitales y encapsulamiento de claves. En este artículo se proporcionan recomendaciones de seguridad específicas de la administración de claves criptográficas.
Nota:
Este artículo se centra en los procedimientos de seguridad específicos de las claves de Key Vault. Para obtener instrucciones completas sobre la seguridad de Key Vault, incluidas la seguridad de red, la administración de identidades y accesos y la arquitectura de Key Vault, consulte Asegure su Azure Key Vault.
Tipos clave y niveles de protección
Azure Key Vault admite diferentes tipos de clave con distintos niveles de protección. Elija el tipo de clave adecuado en función de los requisitos de seguridad:
Claves protegidas por software (RSA, EC): claves protegidas por software validado por FIPS 140-2 nivel 1. Adecuado para la mayoría de las aplicaciones que requieren operaciones de cifrado y firma.
Claves protegidas por HSM (RSA-HSM, EC-HSM): claves protegidas por módulos de seguridad de hardware (HSM). Todas las nuevas claves y versiones de claves se crean en HSM de nivel 3 validados por FIPS 140-3 (HSM Platform 2). Se recomienda para escenarios de alta seguridad que requieren protección de claves respaldadas por hardware.
Claves de HSM administrado: claves en grupos de HSM dedicados de un solo inquilino con hardware validado FIPS 140-3 nivel 3. Requerido para los requisitos de seguridad y cumplimiento más altos.
Para obtener más información sobre los tipos de clave, consulte About Azure Key Vault keys.
Uso y operaciones clave
Restrinja las operaciones clave solo a las necesarias para que la aplicación minimice la superficie expuesta a ataques:
- Limitar las operaciones de clave: conceda solo los permisos necesarios (cifrar, descifrar, firmar, comprobar, wrapKey, unwrapKey)
-
Use los tamaños de clave adecuados:
- Claves RSA: utilizar un mínimo de 2048 bits, 4096 bits para escenarios de alta seguridad.
- Claves EC: Usar curvas P-256, P-384 o P-521 en función de los requisitos de seguridad
- Claves independientes por propósito: use claves diferentes para las operaciones de cifrado y firma para limitar el impacto si una clave está en peligro.
Para obtener más información sobre las operaciones clave, consulte Key operations in Key Vault.
Rotación de claves y control de versiones
Implemente la rotación regular de claves para limitar la exposición de las claves comprometidas.
- Habilitar la rotación automática de claves: configure directivas de rotación automática para rotar claves sin tiempo de inactividad de la aplicación. Consulte Configuración de la autorotación de claves.
- Establecer la frecuencia de rotación: gire las claves de cifrado al menos cada dos años o con más frecuencia en función de los requisitos de cumplimiento.
- Uso del versionado de claves: Key Vault versiona automáticamente las claves, lo que permite la rotación sin problemas sin interrumpir los datos cifrados existentes.
- Plan para volver a cifrar: para los datos a largo plazo, implemente estrategias para volver a cifrar los datos con nuevas versiones de clave.
Para obtener más información sobre la rotación, consulte Configurar la autorrotación de claves criptográficas en Azure Key Vault.
Copia de seguridad y recuperación de claves
Proteja contra la pérdida de datos mediante la implementación de procedimientos adecuados de copia de seguridad y recuperación:
- Habilitar la eliminación temporal: la eliminación temporal permite la recuperación de claves eliminadas dentro de un período de retención (de 7 a 90 días). Consulte Información general sobre la eliminación temporal de Azure Key Vault
- Habilitar la protección de purga: evite la eliminación permanente de claves durante el período de retención. Consulte Protección de purgas
- Copia de seguridad de claves críticas: exporte y almacene de forma segura copias de seguridad de claves que protegen los datos irreplacebles. Consulte Azure Key Vault backup
-
Restringir los permisos de copia de seguridad: conceda la
backupoperación de clave solo a las identidades que realmente lo necesiten. Una clave respaldada que se restaura en otra bóveda se vuelve completamente independiente del original. Consulte Consideraciones de seguridad de copia de seguridad para más información. - Procedimientos de recuperación de documentos: mantenimiento de runbooks para escenarios de recuperación clave
Respuesta de riesgo clave
Si sospecha que una clave ha sido comprometida (por ejemplo, a través de copias de seguridad y restauración no autorizadas en otra bóveda), no deshabilite ni elimine inmediatamente la clave. Una copia restaurada es completamente independiente de la bóveda de origen, por lo que deshabilitar, eliminar o purgar el original no invalida ninguna copia restaurada. Al mismo tiempo, al deshabilitar o eliminar la clave, todos los servicios dependientes quedarán sin conexión, como TDE de Azure SQL, SSE de Azure Storage, Azure Disk Encryption y otros.
En su lugar, contenga la brecha, cambie a una nueva clave en un almacén limpio, migre todos los servicios dependientes y luego desactive la clave comprometida. Para obtener el procedimiento completo de respuesta a incidentes paso a paso, consulte Consideraciones de seguridad de copia de seguridad. Para conocer los procedimientos de rotación de claves, consulte Configuración de la autorización de claves criptográficas en Azure Key Vault.
Para detectar tempranamente la filtración no autorizada de claves, supervise los registros de auditoría de Key Vault para las operaciones KeyBackup y KeyRestore, y alerte sobre cualquier actividad inesperada. Para obtener más información, consulte Registros de Azure Key Vault.
Traiga su propia clave (BYOK)
Al importar sus propias claves en Key Vault, siga los procedimientos recomendados de seguridad:
- Uso de la generación de claves seguras: genere claves en un HSM local compatible que cumpla los requisitos de cumplimiento.
- Protect keys during transfer: Use el proceso BYOK de Key Vault para transferir claves de forma segura. Consulte Importar claves protegidas por HSM a Key Vault (BYOK)
- Validación de la importación de claves: comprobación de los atributos y permisos de clave después de la importación
- Mantener la procedencia de las claves: documente el origen y el método de transferencia de claves importadas.
Para más información sobre BYOK, consulte Importar claves protegidas por HSM para Key Vault.
Liberación y atestación de claves
En escenarios que requieren la liberación de claves a entornos de confianza:
- Utilizar políticas de liberación de claves: Configurar políticas de liberación basadas en atestación para controlar cuándo pueden liberarse las claves desde Key Vault
- Comprobación de la atestación: asegúrese de que los entornos de solicitud proporcionan una atestación válida antes de liberar claves.
- Auditar liberaciones de claves: Supervisar y registrar todas las operaciones de liberación de claves
Para obtener más información sobre la liberación de claves, consulte Azure Key Vault liberación de claves.
Supervisión y auditoría
Realice un seguimiento del uso de claves para detectar patrones de acceso no autorizados o sospechosos:
- Habilitar el registro de diagnóstico: registre todas las operaciones clave para el análisis de seguridad. Consulte el registro de Azure Key Vault
- Supervisión de las operaciones de clave: realizar un seguimiento de las operaciones de cifrado, descifrado, firma y comprobación para establecer patrones de uso de línea base
-
Configurar alertas: Configure Azure Monitor alerts for:
- Patrones de acceso de claves inusuales
- Operaciones de clave fallidas
- Eliminaciones o modificaciones de claves
- Clave próxima a expirar
Consulte Supervisión y alertas para Azure Key Vault.
Expiración de la clave
Establezca fechas de expiración para las claves cuando corresponda:
- Establecer la expiración de las claves temporales: las claves que se usan con fines limitados de tiempo deben tener fechas de expiración.
- Supervisar las claves de expiración: use las notificaciones de Event Grid para alertar antes de que expiren las claves. Consulte Azure Key Vault como origen de Event Grid
- Automatización de la renovación de claves: implementación de procesos automatizados para rotar las claves antes de la expiración
Artículos de seguridad relacionados
- Asegura tu Azure Key Vault: guía completa de seguridad de Azure Key Vault
- Protege los secretos de Azure Key Vault: mejores prácticas de seguridad para secretos
- Asegurar los certificados de Azure Key Vault - Procedimientos recomendados de seguridad para certificados