Azure Key Vault backup e restauração

Este documento mostra como fazer backup de segredos, chaves e certificados armazenados em seu cofre de chaves. Um backup destina-se a fornecer uma cópia offline de todos os seus segredos no caso improvável de você perder o acesso ao cofre de chaves.

Visão geral

O Azure Key Vault fornece diversas opções para garantir a disponibilidade e a capacidade de recuperação dos dados do cofre:

• Redundância e failover automático: o Key Vault replica automaticamente dados entre regiões e gerencia o failover durante as interrupções - consulte Disponibilidade e redundância do Azure Key Vault
• Exclusão temporária e proteção contra limpeza: impede a exclusão acidental ou mal-intencionada de seu cofre ou de objetos do cofre - consulte Gerenciamento de recuperação do Azure Key Vault com exclusão temporária e proteção contra limpeza
• Backup e restauração manuais (abordados neste artigo): para segredos, chaves e certificados individuais

Este artigo se concentra em operações manuais de backup e restauração para objetos individuais em Key Vault.

Quando usar backups

Azure Key Vault fornece recursos automaticamente para ajudá-lo a manter a disponibilidade e evitar a perda de dados. Faça backup de segredos somente se você tiver uma justificativa comercial crítica. O backup de segredos no cofre de chaves pode introduzir desafios operacionais, como a manutenção de vários conjuntos de logs, permissões e backups quando os segredos expiram ou são girados.

Considere o uso de backups nestes cenários:

• É necessário mover objetos entre key vaults ou regiões do Azure
• Você deseja uma cópia offline de seus segredos por motivos regulatórios ou de conformidade
• Você está usando uma região que não dá suporte à replicação automática entre regiões (Sul do Brasil, Sudeste do Brasil ou Oeste dos EUA 3)
• Você precisa de proteção contra exclusão acidental de objetos específicos

Para a maioria dos cenários, a redundância interna da Key Vault e os recursos de exclusão reversível fornecem proteção suficiente sem a necessidade de backups manuais. Para obter mais informações, consulte Azure Key Vault disponibilidade e redundância.

Limitações

Atualmente, o Key Vault não fornece uma maneira de fazer backup de um cofre de chaves inteiro em uma única operação, e os backups de chaves, segredos e certificados devem ser feitos individualmente.

Considere também os seguintes problemas:

• O backup de segredos que têm várias versões poderá causar erros de tempo limite.
• Um backup cria um instantâneo pontual. Os segredos podem ser renovados durante um backup, causando uma incompatibilidade de chaves de criptografia.
• Se você exceder os limites de serviço do cofre de chaves de solicitações por segundo, o cofre de chaves será restrito e o backup falhará.

Considerações sobre o design

Quando você faz backup de um objeto do cofre de chaves, como um segredo, chave ou certificado, a operação de backup baixará o objeto como um blob criptografado. Esse blob não pode ser descriptografado fora de Azure. Para obter dados utilizáveis desse blob, restaure o blob em um cofre de chaves na mesma assinatura e geografia do Azure.

Considerações de segurança

Quando você restaura uma chave em um cofre diferente, a cópia restaurada é totalmente independente do original. Desabilitar, excluir ou limpar a chave original não tem efeito em nenhuma cópia restaurada. Eles permanecem totalmente funcionais em seus respectivos cofres. Não há nenhum mecanismo no Azure Key Vault para revogar ou invalidar um blob de backup criado anteriormente ou uma chave que já foi restaurada para outro cofre.

Essa independência tem implicações importantes para a resposta a incidentes. Se você suspeitar que uma chave foi comprometida por meio de backup e restauração não autorizados, não desabilite ou exclua imediatamente a chave. Isso coloca todos os serviços dependentes offline (por exemplo, os bancos de dados TDE do SQL do Azure ficam inacessíveis, o Armazenamento do Azure com chaves gerenciadas pelo cliente retorna erros e as VMs protegidas contra Criptografia de Disco do Azure não podem ser iniciadas), mas não afetam nenhuma cópia que um invasor possa ter restaurado para outro cofre.

Em vez disso, siga esta sequência de resposta a incidentes:

1. Contenha a violação: examine e revogue imediatamente todas as entidades com permissões de backup ou restauração no cofre comprometido. Investigue os logs de auditoria do Key Vault em busca de atividades de backup e restauração não autorizadas para entender o escopo do comprometimento.
2. Crie uma chave de substituição em um cofre separado com acesso restrito. Use uma nova chave (não uma nova versão da chave comprometida) para garantir que a substituição não possa ser obtida de blobs de backup existentes.
3. Reconfigure os serviços dependentes para usar a chave de substituição (cada serviço encapsula novamente suas chaves de criptografia de dados com a nova chave).
4. Verifique se todos os serviços dependentes estão operando normalmente com a chave de substituição.
5. Desabilite a chave comprometida somente depois que os serviços dependentes forem totalmente migrados. Se a proteção contra exclusão permanente estiver habilitada no cofre, a chave não poderá ser excluída definitivamente até que o período de retenção expire, portanto, deixe essa opção desabilitada até lá.

Para reduzir o risco de exfiltração de backup não autorizada, restrinja permissões de backup e restauração apenas para as identidades que realmente exigem elas. Monitore os logs de auditoria do Key Vault para as operações de KeyBackup, KeyRestore, SecretBackup, SecretRestore, CertificateBackup e CertificateRestore e alerte sobre atividades inesperadas. Para obter mais informações, consulte o log do Azure Key Vault.

Para obter práticas recomendadas de segurança específicas de chave e procedimentos de resposta de comprometimento de chave, consulte Proteger suas chaves do Azure Key Vault.

Pré-requisitos

Para fazer backup de um objeto do cofre de chaves, você deve ter:

• Permissões de nível de colaborador ou superior em uma assinatura Azure.
• Um cofre de chaves primário que contenha os segredos que você deseja copiar em backup.
• Um cofre de chaves secundário onde os segredos serão restaurados.

Fazer backup e restauração do portal Azure

Siga as etapas nesta seção para fazer backup e restaurar objetos usando o portal Azure.

Fazer backup

1. Vá para o portal do Azure.

2. Selecione seu cofre de chaves.

3. Vá para o objeto (segredo, chave ou certificado) que você deseja fazer backup.

   

4. Selecione o objeto.

5. Selecione Baixar Backup.

   

6. Selecione Baixar.

   

7. Armazene o blob criptografado em um local seguro.

Restaurar

1. Vá para o portal do Azure.

2. Selecione seu cofre de chaves.

3. Vá para o tipo de objeto (segredo, chave ou certificado) que você deseja restaurar.

4. Selecione Restaurar Backup.

   

5. Vá para o local onde você armazenou o blob criptografado.

6. Selecione OK.

Fazer backup e restauração do Azure CLI ou Azure PowerShell

## Log in to Azure
az login

## Set your subscription
az account set --subscription <subscription-id>

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file <file-path> --name <certificate-name> --vault-name <vault-name> --subscription <subscription-id>

## Back up a key in Key Vault
az keyvault key backup --file <file-path> --name <key-name> --vault-name <vault-name> --subscription <subscription-id>

## Back up a secret in Key Vault
az keyvault secret backup --file <file-path> --name <secret-name> --vault-name <vault-name> --subscription <subscription-id>

## Restore a certificate in Key Vault
az keyvault certificate restore --file <file-path> --vault-name <vault-name> --subscription <subscription-id>

## Restore a key in Key Vault
az keyvault key restore --file <file-path> --vault-name <vault-name> --subscription <subscription-id>

## Restore a secret in Key Vault
az keyvault secret restore --file <file-path> --vault-name <vault-name> --subscription <subscription-id>

## Log in to Azure
Connect-AzAccount

## Set your subscription
Set-AzContext -Subscription '<subscription-id>'

## Back up a certificate in Key Vault
Backup-AzKeyVaultCertificate -VaultName '<vault-name>' -Name '<certificate-name>'

## Back up a key in Key Vault
Backup-AzKeyVaultKey -VaultName '<vault-name>' -Name '<key-name>'

## Back up a secret in Key Vault
Backup-AzKeyVaultSecret -VaultName '<vault-name>' -Name '<secret-name>'

## Restore a certificate in Key Vault
Restore-AzKeyVaultCertificate -VaultName '<vault-name>' -InputFile '<file-path>'

## Restore a key in Key Vault
Restore-AzKeyVaultKey -VaultName '<vault-name>' -InputFile '<file-path>'

## Restore a secret in Key Vault
Restore-AzKeyVaultSecret -VaultName '<vault-name>' -InputFile '<file-path>'

Próximas Etapas 

• Azure Key Vault disponibilidade e redundância
• Gerenciamento da recuperação do Azure Key Vault com exclusão temporária e proteção contra limpeza
• Mover um Azure key vault entre regiões
• Habilitar o registro em log do Key Vault para o Key Vault