¿Qué es Azure Key Vault?

Azure Key Vault es el servicio de la nube de Microsoft que sirve para proteger y almacenar claves criptográficas y secretos que utilizan aplicaciones y servicios en la nube.

Azure Key Vault nos ayuda a resolver problemas relacionados con la seguridad a la hora de gestionar y configurar aplicaciones en la nube. Se encarga de:

  • Gestión de secretos: Azure Key Vault es capaz de gestionar, controlar y monitorizar el acceso seguro de contraseñas, claves de API, certificados y tokens de manera segura y confiable.
  • Gestión de claves: Azure Key Vault hace una perfecta gestión de claves criptográficas para el cifrado de los datos que las aplicaciones y servicios en la nube manejan.
  • Gestión de certificados: Azure Key Vault también permite el provisionado, gestión y despliegue de certificados TLS y SSL, tanto públicos como privados. Para ser utilizados de una manera segura entre Azure y los recursos contratados en tu suscripción.

¿Por qué utilizar Azure Key Vault?

Las aplicaciones desplegadas en la nube o los servicios de nube contratados siempre involucran una gestión de seguridad, ya sea en forma de certificados, claves criptográficas o secretos. Azure Key Vault da respuesta a todas estas necesidades de una manera casi transparente para el desarrollador y el equipo de DevOps

Las razones por las que Azure Dev Ops es la solución perfecta para estos cometidos son:

Centralización de secretos de aplicaciones

Reduce la posibilidad del filtrado de secretos gracias a la centralización en la distribución de los mismos. Los secretos ya no son almacenados en las aplicaciones por los programadores, si no que se apoyan en este servicio para su gestión. La información sensible al respecto de secretos ya no se encuentra en el código las aplicaciones, eliminando también así la necesidad de programar código que proteja estos secretos. Se delega por completo en Azure Key Vault.

Guardado seguro de claves y secretos

Azure Key Vault es un servicio bien diseñado y para acceder a sus claves y secretos, hay que estar debidamente autenticado y autorizado. Para la autenticación, se apoya en Azure Active Directory y, para la autorización, se basa en Azure RBAC. Dependiendo de la versión contratada de Azure Key Vault, estas claves y secretos serán protegidas bien por software o bien por hardware en la versión premium.

Monitorización de uso y acceso

Azure Key Vault monitorea cómo y cuándo se ha accedido a las claves y secretos que contiene. Provee de un sistema de auditoría muy completo y se convertirá en una herramienta fundamental del equipo de operaciones.

Administración simplificada de los secretos de las aplicaciones

La gestión y administración de los secretos que las aplicaciones manejan es complicada y debe de seguir un ferreo conjunto de pasos. Azure Key Vault simplifica la securización, gestión del ciclo de vida y alta disponibilidad de estos secretos:

  • Eliminando la necesidad de conocer al detalle soluciones de Hardware Security Modules (HSM)
  • Escalado de manera automática en las peticiones de acceso a los secretos.
  • Replicación multi región.
  • Estandarización en la gestión a través del portal de Azure, Azure CLI y PowerShell.
  • Automatización de tareas relativas a la inscripción y renovación de certificados de CAs públicas.

Además, Azure Key Vault provee de la capacidad de segregar los secretos de las aplicaciones, haciendo que sólo puedan acceder a los secretos sobre los que tienen permisos.

Integración con otros servicios de Azure

Azure Key Vault puede ser accedido desde cada vez más servicios de Azure, gestionando así todo lo que involucre claves, secretos y certificados.

Algunos ejemplos pueden ser:

  • Azure Disk Encryption.
  • Always Encrypted y Transparent Data Encryption de SQL Server y Azure SQL Database.
  • Azure App Service.