Azure Key Vault – O inicio

Azure Key Vault

Faaala galera, 100%?!
Tempos atrás estava iniciando um processo de revisão de um ambiente quando me deparei com um arquivo .ini. Curioso que sou, abri o arquivo e comecei a ler as linha até que cheguei na bendita linha 137 e lá encontrei nada mais nada menos do que a seguinte string: DataSource = “ServerName”,InitialCatalog = “DatabaseName”,UserID = “UserName”,Password = “SenhaForte”. SIM, as credenciais de acesso a base de dados estavam ali, em texto plano, para quem quisesse ver.

Esse é um tipo de situação nada normal (o normal seria ter uma solução mais segura), mas comum a vários e vários ambientes, dos menores aos gigantes.

E é assim que você já entende o objetivo e justificativa para usar o Azure Key Vault!!

O que é e pra que serve?

Reforçando o que já disse ali em cima, o Azure Key Vault é um recurso que te ajuda a gerenciar de forma segura e controlada todos os “secrets” que seu ambiente precisa para funcionar.

E o que cargas d’agua são “Secrets”? Secret é um nome bonito para

  • Keys: Tokens de acesso, chaves compartilhadas (tipo aquelas geradas pelo stg account), entre outros
  • Credenciais: senhas, aquelas comuns mesmo, velhas conhecidas
  • Certificates: Certificados em geral, aqueles que vocês utilizaria para seu site ou aplicação que solicita TLS para comunicação

O grande lance do Key Vaul é abstrair e entregar de forma segura o que a aplicação ou acesso de forma geral precisa que a comunicação seja iniciada. Dai o que muda na prática é, ao invés de informar as credenciais de acesso ao banco, como mostrei anteriormente, você informaria o caminho do Key Vault e lá suas credenciais seriam consultadas de forma segura, sem expor nadinha. Além disso você consegue gerenciar o tempo de vida dos secrets que são armazenados no Key Vault….SIM, você pode dizer que tal Key será válida do dia X ao dia Y.

Além de informações sensíveis, você pode usar esse recurso para vários outros tipos de dados como DNS suffixes for base URL, texto plano, boleano e outros. Nem só de secrets vive o Vault!

Proteção para todos os níveis de dados

Entenda “Níveis” como o estado do dado e a proteção que ele recebe. Se liga, pra ficar mais tranquilo. O Azure Key Vault te ajuda em:

  • Dados em descanso (Data Rest): Aquela VM que está com o BitLocker ativo…você consegue gerenciar suas Keys do BitLocker utilizando o Azure Key Vault.
  • Dados em Transito (Data in Transit): Acessos a aplicação/sites que dependem de TLS. Como já falei anteriormente, é possível deixar o Key Vault tomar conta dos certificados ao invés de expô-los mundo a fora
  • Dados em uso (Data in Use): Aquele SQL Always Encripted é o melhor exemplo pra esse tipo de uso

Veja que, a principio você consegue utilizar tudo que precisa a nível de autenticação apontando para seu Azure Key Vault.

Ha, detalhe importante de dizer é que o Key Vault possui dois Tiers, o Standard e o Premium. A diferença entre os dois é que o Premium entrega nível de proteção com cifras gerenciada por Hardaware (HSM) enquanto o tier padrão utiliza cifras gerenciadas pelo próprio Azure.

Níveis de Gestão: Manager Plane x Data Plane

No nível de gerenciamento é onde vai rolar o Gerenciamento do Recurso em si. Aqui você poderá definir quem conseguira ou não acessar o Key Vault, o RECURSO em si. Por enquanto nada de gerenciamento das chaves. Nesse nível conseguimos explorar o RBAC para entregar as autorizações e o Azure AD para autenticação. Caso as roles padrões não se encaixem na sua demanda é possível criar Custom Roles.

A parte de Data Plane é basicamente a mesma ideia mas voltado a Secrets. Nesse nível gerenciamento quem ou qual recurso pode ter acesso as chaves. Aqui você também consegue aproveitar o Azure AD para autenticação e se quiser mais um nível bacana de segurança é possível criar políticas de acesso aos secrets! Da mesma forma como no Nível de gerenciamento, caso alguma política não se adeque a sua necessidade é possível customizar os acessos.

Conclusão

Pra começo de conversa está ótimo! Esse assunto vai virar um serie e teremos vários outros artigos com mais detalhes sobre o Key Vault.

 

Espero que tenha curtido! E ai, vale alguns vídeos!

Grande abraço \,,/

Faça o primeiro comentário a "Azure Key Vault – O inicio"

Comentar

O seu endereço de email não será publicado.


*


Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.