Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Azure Key Vault é um serviço na cloud para armazenar e aceder a segredos de forma segura. Um segredo é qualquer coisa que você queira controlar rigorosamente o acesso, como chaves de API, senhas, certificados ou chaves criptográficas. O serviço Key Vault suporta dois tipos de contentores: cofres e pools de módulos de segurança de hardware geridos (HSM). Os cofres suportam o armazenamento de software, chaves apoiadas por HSM, segredos e certificados. Os pools de HSM gerenciados suportam apenas chaves apoiadas por HSM. Consulte Azure Key Vault REST API Overview para detalhes completos.
Aqui estão outros termos importantes:
Tenant: Um tenant é a organização que detém e gere uma instância específica de Microsoft serviços cloud. É mais frequentemente usado para se referir ao conjunto de serviços Azure e Microsoft 365 para uma organização.
Proprietário do Key Vault: um proprietário do cofre pode criar um cofre de chaves e obter acesso total e controlo sobre o mesmo. O proprietário do cofre também pode configurar uma auditoria ao registo de quem acede a segredos e chaves. Os administradores podem controlar o ciclo de vida das chaves. Podem implementar uma nova versão da chave, fazer uma cópia de segurança e executar tarefas relacionadas.
Consumidor do cofre: um consumidor do cofre pode efetuar ações nos recursos dentro do cofre de chaves quando o proprietário do cofre lhe concede acesso. As ações disponíveis dependem das permissões concedidas.
Administradores de HSM gerenciados: os usuários aos quais é atribuída a função de Administrador têm controle total sobre um pool de HSM gerenciado. Eles podem criar mais atribuições de função para delegar acesso controlado a outros usuários.
Gerenciado HSM Crypto Officer/User: funções internas que geralmente são atribuídas a usuários ou entidades de serviço que executarão operações criptográficas usando chaves no HSM gerenciado. Crypto User pode criar novas chaves, mas não pode excluir chaves.
Usuário de criptografia de serviço de criptografia HSM gerenciado: função interna que geralmente é atribuída a uma identidade de serviço gerenciado de contas de serviço (por exemplo, conta de armazenamento) para criptografia de dados em repouso com chave gerenciada pelo cliente.
Recurso: Um recurso é um item gerível que está disponível através do Azure. Exemplos comuns são máquina virtual, conta de armazenamento, aplicativo Web, banco de dados e rede virtual. Há muitos mais.
Grupo de recursos: Um grupo de recursos é um contentor que contém recursos relacionados para uma solução Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que você deseja gerenciar como um grupo. Decida como pretende atribuir recursos a grupos de recursos com base no que é mais adequado para a sua organização.
Princípio de segurança: Um princípio de segurança Azure é uma identidade de segurança que aplicações, serviços e ferramentas de automação criados pelos utilizadores usam para aceder a recursos Azure específicos. Pense nisso como uma "identidade de usuário" (nome de usuário e senha ou certificado) com uma função específica e permissões rigidamente controladas. Uma entidade de segurança só precisa fazer coisas específicas, ao contrário de uma identidade de usuário geral. Ele melhora a segurança se você conceder a ele apenas o nível mínimo de permissão de que ele precisa para executar suas tarefas de gerenciamento. Uma entidade de segurança usada com um aplicativo ou serviço é chamada de entidade de serviço. Para mais informações, veja Aplicações e objetos principais de serviço.
Microsoft Entra ID: Microsoft Entra ID é o serviço Active Directory para um inquilino. Cada diretório tem um ou mais domínios. Um diretório pode ter várias subscrições associadas, mas apenas um inquilino.
ID de locatário do Azure: Um ID de locatário é uma forma única de identificar uma instância do Microsoft Entra dentro de uma subscrição do Azure.
Identidades geridas: Azure Key Vault fornece uma forma segura de armazenar credenciais e outras chaves e segredos, mas o seu código precisa de se autenticar junto de Key Vault para os recuperar. Usar uma identidade gerida torna a resolução deste problema mais simples ao dar aos serviços do Azure uma identidade gerida automaticamente no Microsoft Entra ID. Pode usar esta identidade para autenticar-se no Key Vault ou em qualquer serviço que suporte autenticação Microsoft Entra, sem ter quaisquer credenciais no seu código. Para mais informações, consulte a imagem seguinte e a visão geral das identidades geridas para recursos Azure.
Autenticação
Para realizar qualquer operação com o Key Vault, primeiro é necessário autenticar-se nele. Existem três formas de autenticar no Key Vault:
- Identidades geridas para recursos Azure: Quando implementa uma aplicação numa máquina virtual em Azure, pode atribuir uma identidade à sua máquina virtual que tem acesso a Key Vault. Também podes atribuir identidades a outros recursos Azure. O benefício dessa abordagem é que o aplicativo ou serviço não está gerenciando a rotação do primeiro segredo. Azure gira automaticamente a identidade. Recomendamos esta abordagem como prática recomendada.
- principal de serviço e certificado: Pode usar um principal de serviço e um certificado associado que tenha acesso a Key Vault. Não recomendamos essa abordagem porque o proprietário do aplicativo ou desenvolvedor deve alternar o certificado. Para mais informações, consulte Criar um principal de serviço.
- Princípio de serviço e segredo: Embora possa usar um princípio de serviço e um segredo para autenticar a Key Vault, não o recomendamos. É difícil rodar automaticamente o segredo de inicialização usado para autenticar para o Key Vault.
Para orientações abrangentes sobre autenticação, consulte Autenticação em Azure Key Vault.
Encriptação dos dados em trânsito
Azure Key Vault aplica o protocolo Transport Layer Security (TLS) para proteger os dados quando viajam entre Azure Key vault e clientes. Os clientes negociam uma ligação TLS com o Azure Key Vault. O TLS fornece autenticação forte, privacidade e integridade da mensagem (permitindo a deteção de adulteração, intercetação e falsificação de mensagens), interoperabilidade, flexibilidade de algoritmo e facilidade de implantação e uso.
Perfect Forward Secrecy (PFS) protege as ligações entre os sistemas cliente dos utilizadores e os serviços cloud da Microsoft por chaves únicas. As conexões também usam comprimentos de chave de criptografia de 2.048 bits baseados em RSA. Essa combinação torna difícil para alguém intercetar e acessar dados que estão em trânsito.
Papéis no Key Vault
Use a tabela seguinte para compreender melhor como o Key Vault pode ajudar a responder às necessidades dos programadores e administradores de segurança.
| Funções | Enunciado do problema | Resolvido por Azure Key Vault |
|---|---|---|
| Desenvolvedor para uma aplicação Azure | "Quero escrever uma aplicação para o Azure que use chaves para assinatura e encriptação. Mas quero que essas chaves sejam externas ao meu aplicativo para que a solução seja adequada para um aplicativo distribuído geograficamente. Quero que as chaves e os segredos estejam protegidos, sem que tenha de escrever eu próprio o código. Também quero que essas chaves e segredos sejam fáceis de usar em meus aplicativos, com desempenho ideal." |
As chaves √ são armazenadas num cofre e invocadas pelo URI quando necessário. √ As chaves são protegidas por Azure, utilizando algoritmos padrão da indústria, comprimentos de chave e módulos de segurança de hardware. √ As chaves são processadas em HSMs que se encontram nos mesmos centros de dados Azure que as aplicações. Este método proporciona mais fiabilidade e latência reduzida do que as chaves que residem numa localização separada, como no local. |
| Desenvolvedor de software como serviço (SaaS) | "Não quero a responsabilidade ou responsabilidade potencial pelas chaves e segredos de inquilino dos meus clientes. Quero que os clientes possuam e gerenciem suas chaves para que eu possa me concentrar em fazer o que faço melhor, que é fornecer os principais recursos de software." |
√ Os clientes podem importar as suas próprias chaves para Azure e geri-las. Quando uma aplicação SaaS precisa de realizar operações criptográficas utilizando as chaves dos clientes, o Key Vault realiza estas operações em nome da aplicação. O aplicativo não vê as chaves dos clientes. |
| Responsável pela segurança (CSO) | "Quero saber se nossos aplicativos estão em conformidade com os HSMs FIPS 140 Nível 3 para gerenciamento seguro de chaves. Pretendo certificar-me de que a minha organização está a controlar o ciclo de vida das chave e pode monitorizar a utilização das mesmas. E embora usemos múltiplos serviços e recursos do Azure, quero gerir as chaves a partir de um único local no Azure." |
√ Escolha cofres ou HSMs gerenciados para HSMs validados pelo FIPS 140. √ Escolha pools de HSM geridos para HSMs validados pelo FIPS 140-3 Nível 3. √ Key Vault é desenhado para que Microsoft não veja nem extraia as suas chaves. √ A utilização da chave é registada em tempo quase real. √ O cofre fornece uma única interface, independentemente de quantos cofres tenhas no Azure, das regiões que estes suportam e das aplicações que os utilizam. |
Qualquer pessoa com uma subscrição do Azure pode criar e usar cofres de chaves. Embora o Key Vault beneficie programadores e administradores de segurança, pode ser implementado e gerido pelo administrador de uma organização que gere outros serviços Azure. Por exemplo, este administrador pode iniciar sessão com uma subscrição do Azure, criar um cofre para a organização onde armazenar chaves e depois ser responsável por tarefas operacionais como estas:
- Criar ou importar uma chave ou segredo
- Revogar ou eliminar uma chave ou segredo
- Autorizar os utilizadores ou aplicações a acederem ao cofre de chaves, para que possam então gerir ou utilizar as chaves e segredos do mesmo.
- Configurar a utilização da chave (por exemplo, iniciar sessão ou encriptar)
- Monitorizar a utilização da chave
Em seguida, esse administrador dá aos desenvolvedores URIs que podem ser chamados a partir de seus aplicativos. Este administrador também fornece informações de registo de utilização de chaves ao administrador de segurança.
Os programadores também podem gerir as chaves diretamente, com APIs. Para mais informações, consulte Azure Key Vault developer's guide.
Próximos passos
- Comece com o guia para desenvolvedores Azure Key Vault
- Saiba mais sobre Azure Key Vault funcionalidades de segurança
- Saiba mais sobre autenticação em Azure Key Vault
- Saiba como proteger seus pools de HSM gerenciados
O Azure Key Vault está disponível na maioria das regiões. Para mais informações, consulte a página de preços Key Vault.