Ir al contenido

Webinar: Regístrese para nuestro próximo seminario web

Regístrate Ahora

  1. Blog
    2. Gestión de claves en la nube

Servicios de Microsoft Azure: Almacén de claves de Azure

Publicado porManimit Haldar 5 Minutos
Azure Key Vault optimiza el proceso de administración de secretos, claves y certificados y le permite mantener un control estricto sobre los secretos/claves que acceden a sus datos y los cifran.
Tabla de contenido

El mundo actual ve cada vez más organizaciones migrando a Proveedores de servicios en la nube Para obtener las ventajas asociadas con la computación en la nube, como el ahorro de costes, la seguridad, la flexibilidad, la movilidad y la sostenibilidad. Entre ellas, la seguridad es un aspecto fundamental de cualquier modelo de servicio en la nube, ya que se aplica a cualquier oferta de servicios en la nube que involucre datos confidenciales.

Hoy vamos a discutir el Servicio Key Vault de Microsoft Azure en el contexto anterior.

Ahora, comprendamos el verdadero significado de bóveda: es un depósito que se utiliza para almacenar objetos valiosos. Al comprender este significado en relación con la nube de Azure, Da la impresión correcta: es un tesoro de mis claves y secretos. Actúa como un almacén central para toda la información confidencial, que puede almacenarse en secreto mediante cifrado y recuperarse o usarse según los permisos.
Para profundizar más, el servicio Microsoft Azure Key Vault se centra en la seguridad de los siguientes temas:

  1. Gestión secreta El servicio Azure Key Vault se puede utilizar para almacenar y controlar de forma segura el acceso a secretos, como claves de autenticación, claves de cuentas de almacenamiento, contraseñas, tokens, claves de API, archivos .pfx y otros secretos.
  2. Gestión de claves El servicio Azure Key Vault se puede utilizar para administrar las claves de cifrado para el cifrado de datos.
  3. Gestión de certificados El servicio Azure Key Vault le permite aprovisionar, administrar e implementar Certificados SSL/TLS Se puede utilizar sin problemas con los servicios integrados de Azure.

Siendo la seguridad el principal motor de la existencia de Azure Key Vault, Microsoft ofrece los siguientes niveles según la protección de claves:

  1. Nivel estándar Utiliza bóvedas de software para almacenar y gestionar claves criptográficas, secretos, certificados y claves de cuentas de almacenamiento. Esto cumple con la norma FIPS 140-2 nivel 2 (bóvedas).
  2. Nivel Premium Utiliza un Managed HSM Grupo para almacenar y gestionar claves criptográficas respaldadas por HSM. Cumple con la norma FIPS 140-2 nivel 3 (grupos de HSM gestionados).

Terminología utilizada en Azure Key Vault:

Secreto

Un secreto es un pequeño blob de datos (de hasta 10 KB) que se utiliza para la autorización de usuarios/aplicaciones mediante un Key Vault. En resumen, Key Vault ayuda a mitigar el riesgo asociado al almacenamiento de secretos en una ubicación no segura.

Teclados

Las claves también se utilizan para autorizar a usuarios/aplicaciones a realizar cualquier operación al invocar las funciones criptográficas del Key Vault. A diferencia de los secretos, las claves no traspasan los límites seguros del Key Vault.

Propietario de Key Vault

Un administrador que crea el Key Vault y autoriza a los usuarios/aplicaciones para diversas operaciones específicas de autenticación.

Propietario de la clave/Propietario del secreto/Consumidor de la bóveda

Un administrador que posee la clave/secreto para el usuario/aplicación específicos y es responsable de la creación de claves/secretos en Key Vault. Tenga en cuenta que los roles de propietario de Key Vault y propietario de clave/secreto pueden ser manejados por el mismo administrador, pero no es necesario.

Director de servicio

Identidad creada (grupo de usuarios/aplicación) para usar con aplicaciones para acceder a recursos de Azure.

Propietario de la aplicación

Un administrador que maneja la configuración de la aplicación, incluida la autenticación en Azure Active Directory en forma de URI mediante Key Vault.

Aplicación

Una aplicación se autentica desde Key Vault con la ayuda de claves/secretos.

Política de acceso

Declaraciones que otorgan acceso a permisos principales de servicio para realizar diversas operaciones en claves/secretos en Key Vault.

Servicios de gestión de claves en la nube a medida

Obtenga servicios de consultoría flexibles y personalizables que se alineen con sus requisitos de nube.

¿Quieres Conocernos?

Formas de acceder a claves y secretos en un almacén de claves:

  1. Para acceder a las claves/secretos, los usuarios/aplicaciones deben tener el token válido de Azure Active Directory que representa la entidad de seguridad con los permisos adecuados del Key Vault de destino.
  2. Los usuarios/aplicaciones pueden usar API basadas en REST o Windows PowerShell para recuperar secretos y claves (solo claves públicas) de Key Vault.

Pasos para autenticar una aplicación con Key Vault:

  1. La aplicación que necesita autenticación está registrada en Azure Active Directory como entidad de servicio.
  2. A continuación, el propietario o administrador de la bóveda de claves creará una bóveda de claves y adjuntará las ACL (listas de control de acceso) a la bóveda para que la aplicación pueda acceder a ella.
  3. La aplicación inicia la conexión y se autentica en Azure Active Directory para obtener el token correctamente.
  4. Luego, la aplicación presenta este token al Key Vault para obtener acceso.
  5. Vault valida el token y otorga acceso a la aplicación en función de la verificación exitosa del token.
pasos de la bóveda de llaves


Por último, analicemos algunos de los beneficios de utilizar Azure Key Vault.

Beneficios de usar Azure Key Vault:

  1. Como las claves guardadas en la bóveda se servirán a través de URI, esto evita el riesgo de exposición accidental y almacenamiento de claves en ubicaciones no seguras.
  2. Por diseño, incluso el proveedor (Microsoft) no puede extraer ni ver las claves de los clientes, por lo tanto, también está completamente protegido a nivel del proveedor.
  3. Si su organización necesita cumplimiento de seguridad y al mismo tiempo requiere Key Vault, Azure Key Vault es una buena opción, ya que el servicio Key Vault es compatible con FIPS 140-2 Nivel 2 (Vault) / FIPS 140-2 Nivel 3 (Grupos HSM administrados).
  4. Los detalles de uso de la clave se registran, por lo que los datos de registro se pueden usar con fines de auditoría en caso de cualquier situación de compromiso de la clave.

Conclusión

Azure Key Vault optimiza el proceso de administración de secretos, claves y certificados, y le permite mantener un control estricto sobre los secretos o claves que acceden a sus datos y los cifran. Esto agiliza la entrega general del proyecto, ya que permite a los desarrolladores crear claves rápidamente para el desarrollo y las pruebas, y luego migrarlas sin problemas a claves de producción.

Descubra nuestra

Blogs relacionados

Microsoft Azure es uno de los tres principales proveedores de servicios en la nube que utilizan las organizaciones actualmente. Los otros dos principales proveedores son Amazon Web Services (AWS) y Google Cloud Platform (GCP). Dada la situación actual, muchas empresas están migrando sus servicios a plataformas parcial o totalmente basadas en la nube, como Azure o AWS.

¿Cómo puedes hacer que las organizaciones sean más compatibles con Microsoft Azure?

Febrero 2, 2022
Introducción a la destrucción de criptomonedas

Familiarícese con el nuevo concepto de Crypto-Shredding

20 de agosto de 2021
Diferencias entre AWS KMS, Azure Key Vault y GCP KMS

AWS KMS frente a Azure Key Vault frente a GCP KMS

23 de julio de 2021

Explore

Más temas