Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Key Vault es un servicio en la nube para almacenar y acceder a secretos de forma segura. Un secreto es todo lo que desea controlar estrechamente el acceso, como claves de API, contraseñas, certificados o claves criptográficas. El servicio Key Vault admite dos tipos de contenedores: bóvedas y grupos de módulos de seguridad de hardware gestionados (HSM). Los almacenes permiten almacenar software y claves, secretos y certificados respaldados por HSM. Los grupos HSM administrados únicamente admiten claves respaldadas por HSM. Consulte Azure Key Vault información general de la API REST para obtener más información.
Estos son otros términos importantes:
Tenant: Un tenant es la organización que posee y administra una instancia específica de los servicios en la nube de Microsoft. Se usa con más frecuencia para hacer referencia al conjunto de servicios de Azure y Microsoft 365 para una organización.
Propietario del almacén: un propietario del almacén puede crear un almacén de claves y obtener acceso completo y control sobre él. El propietario del almacén también puede configurar una auditoría para registrar quién accede a los secretos y claves. Los administradores pueden controlar el ciclo de vida de la clave. Pueden revertir a una nueva versión de la clave, realizar copias de seguridad de ella y efectuar otras tareas relacionadas.
Consumidor del almacén: un consumidor del almacén puede realizar acciones en los recursos del almacén de claves si el propietario del almacén le concede acceso de consumidor. Las acciones disponibles dependen de los permisos concedidos.
Administradores de HSM administrados: los usuarios a los que se ha asignado el rol de administrador tienen control total sobre los grupos de HSM administrados. Pueden crear más asignaciones de roles para delegar el acceso controlado a otros usuarios.
Usuario o responsable de criptografía de HSM administrado: los roles integrados que normalmente se asignan a usuarios o entidades de servicio que realizarán operaciones criptográficas mediante claves en HSM administrado. El usuario criptográfico puede crear claves, pero no eliminarlas.
Usuario de cifrado del servicio de criptografía de HSM administrado: rol integrado que normalmente se asigna a una identidad de servicio administrada por las cuentas de servicio (por ejemplo, la cuenta de almacenamiento) para el cifrado de datos en reposo con la clave administrada por el cliente.
Resource: un recurso es un elemento administrable que está disponible a través de Azure. Ejemplos comunes son una máquina virtual, una cuenta de almacenamiento, una aplicación web, una base de datos y una red virtual. Hay muchos más.
Resource group: un grupo de recursos es un contenedor que contiene recursos relacionados para una solución de Azure. El grupo de recursos puede incluir todos los recursos de la solución o solo los recursos que desea administrar como grupo. Para decidir cómo asignar los recursos a los grupos de recursos, tenga en cuenta lo que más conviene a su organización.
Principio de seguridad: Un principio de seguridad de Azure es una identidad de seguridad que las aplicaciones, servicios y herramientas de automatización creados por los usuarios utilizan para acceder a recursos específicos de Azure. Se puede considerar una "identidad de usuario" (nombre de usuario y contraseña o certificado) con un rol específico y permisos estrechamente controlados. A diferencia de una identidad de usuario general, una entidad de seguridad solo necesita poder realizar acciones específicas. Mejora la seguridad si le concede el nivel de permiso mínimo necesario para realizar sus tareas de administración. A las entidades de seguridad que se usan con una aplicación o un servicio se les denomina entidades de servicio. Para obtener más información, consulte Objetos de aplicación y principal de servicio.
Microsoft Entra ID: Microsoft Entra ID es el servicio Active Directory para un inquilino. Cada directorio tiene uno o varios dominios. Un directorio puede tener varias suscripciones asociadas, pero solo un inquilino.
ID de inquilino de Azure: Un ID de tenant es una forma única de identificar una instancia de Microsoft Entra dentro de una suscripción de Azure.
Administrar identidades: Azure Key Vault proporciona una manera de almacenar de forma segura las credenciales y otros secretos, pero el código debe autenticarse en Key Vault para recuperarlas. El uso de una identidad administrada simplifica la resolución de este problema al proporcionar a Azure servicios una identidad administrada automáticamente en Microsoft Entra ID. Puede usar esta identidad para autenticarse en Key Vault o en cualquier servicio que admita la autenticación Microsoft Entra, sin tener credenciales en el código. Para obtener más información, consulte la imagen siguiente y la visión general de las identidades administradas para recursos de Azure.
Autenticación
Para realizar cualquier operación con Key Vault, primero debe autenticarse en ella. Hay tres maneras de autenticarse en Key Vault:
- Administrar identidades para recursos de Azure: al implementar una aplicación en una máquina virtual en Azure, puede asignar una identidad a la máquina virtual que tiene acceso a Key Vault. También puede asignar identidades a otras Azure recursos. La ventaja de este enfoque es que la aplicación o el servicio no administran la rotación del primer secreto. Azure rota automáticamente la identidad. Se recomienda este enfoque como procedimiento recomendado.
- Principal de servicio y certificado: Puedes usar un principal de servicio y un certificado asociado que tenga acceso a Key Vault. No se recomienda este enfoque porque el propietario de la aplicación o el desarrollador deben rotar el certificado. Para obtener más información, consulte Crear una entidad de servicio.
- Principio de servicio y secreto: Aunque puedes usar un principio de servicio y un secreto para autenticarte en Key Vault, no lo recomendamos. Es difícil rotar automáticamente el secreto de arranque que se usa para autenticarse en Key Vault.
Para obtener instrucciones de autenticación completas, consulte Authentication en Azure Key Vault.
Cifrado de datos en tránsito
Azure Key Vault aplica Transport Layer Security (TLS) protocolo para proteger los datos cuando viaja entre Azure Key vault y los clientes. Los clientes negocian una conexión TLS con Azure Key Vault. TLS proporciona autenticación sólida, privacidad de mensajes e integridad (habilitación de la detección de manipulación, interceptación y falsificación de mensajes), interoperabilidad, flexibilidad de algoritmos y facilidad de implementación y uso.
Perfect Forward Secrecy (PFS) protege las conexiones entre los sistemas cliente de los clientes y los servicios en la nube de Microsoft mediante claves únicas. Las conexiones también usan longitudes de clave de cifrado de 2048 bits basadas en RSA. Esta combinación dificulta que alguien intercepte y acceda a los datos que están en tránsito.
roles de Key Vault
Use la tabla siguiente para comprender mejor cómo Key Vault puede ayudar a satisfacer las necesidades de los desarrolladores y administradores de seguridad.
| Rol | Planteamiento del problema | Resuelto por Azure Key Vault |
|---|---|---|
| Desarrollador de una aplicación de Azure | "Quiero escribir una aplicación para Azure que use claves para firmar y cifrar. Pero quiero que estas claves sean externas a mi aplicación, de forma que la solución sea adecuada para aplicaciones distribuidas geográficamente. Quiero que tanto las claves como los secretos estén protegidos sin tener que escribir el código. Por último, quiero poder usar fácilmente las claves y los secretos desde mis aplicaciones, y que el rendimiento sea óptimo". |
√ Las claves se almacenan en una bóveda y se invocan mediante un URI cuando se necesitan. √ Claves están protegidas por Azure, mediante algoritmos estándar del sector, longitudes de clave y módulos de seguridad de hardware. Las claves se procesan en HSMs que residen en los mismos centros de datos de Azure que las aplicaciones. Este método proporciona mayor confiabilidad y menor latencia que las claves que se encuentran en una ubicación independiente, como por ejemplo si son locales. |
| Desarrollador para software como servicio (SaaS) | "No quiero asumir la responsabilidad, ni tampoco la posible responsabilidad, de las claves y los secretos de inquilino de mis clientes. Quiero que los clientes posean sus claves y las administren, de modo que yo pueda concentrarme en mi trabajo, que es proporcionar las características de software principales". |
√ Los clientes pueden importar sus propias claves en Azure y administrarlas. Cuando una aplicación SaaS necesita realizar operaciones criptográficas mediante claves de clientes, Key Vault realiza estas operaciones en nombre de la aplicación. La aplicación no ve las claves de los clientes. |
| Responsable principal de la seguridad (CSO) | "Quiero saber que nuestras aplicaciones cumplen con HSM FIPS 140 de nivel 3 para una administración de claves segura. Deseo asegurarme de que mi organización tiene el control del ciclo de vida de las claves y puedo supervisar el uso de estas. Y aunque usamos varios servicios y recursos de Azure, quiero administrar las claves desde una sola ubicación en Azure". |
√ Elija almacenes o HSM administrados para HSM validados por FIPS 140. Elija grupos de HSM administrados para HSMs validados según FIPS 140-3 Nivel 3. √ Key Vault está diseñado para que Microsoft no vea ni extraiga las claves. El uso de la clave √ se registra en tiempo casi real. √ La bóveda proporciona una única interfaz, independientemente de cuántas bóvedas tenga en Azure, qué regiones son compatibles y qué aplicaciones las requieren. |
Cualquiera con una suscripción Azure puede crear y usar almacenes de claves. Aunque Key Vault beneficia a los desarrolladores y administradores de seguridad, puede implementarlo y administrarlo el administrador de una organización que administra otros servicios Azure. Por ejemplo, este administrador puede iniciar sesión con una suscripción de Azure, crear un almacén para la organización en la que almacenar claves y, a continuación, ser responsable de las tareas operativas, como estas:
- Crear o importar una clave o un secreto
- Revocar o eliminar una clave o un secreto
- Autorizar usuarios o aplicaciones para acceder al almacén de claves para que puedan administrar o usar sus claves y secretos
- Configurar el uso de claves (por ejemplo, para firmar o cifrar)
- Supervisar el uso de claves
A continuación, este administrador proporciona a los desarrolladores los URI para llamar desde sus aplicaciones. Este administrador también ofrece información de registro del uso de claves al administrador de seguridad.
Los desarrolladores también pueden administrar las claves directamente mediante API. Para obtener más información, consulte Azure Key Vault guía del desarrollador.
Pasos siguientes
- Introducción a la guía del desarrollador de Azure Key Vault
- Obtenga información sobre las características de seguridad de Azure Key Vault
- Obtenga información sobre Authentication en Azure Key Vault
- Aprenda a proteger los grupos HSM administrados.
Azure Key Vault está disponible en la mayoría de las regiones. Para obtener más información, consulte la página de precios Key Vault.