Como integrar o Segura® DSM e o Azure Key Vault

  • 3 minuto(s) lido(s)
Prev Next

Este guia explica como integrar o Azure Key Vault com a Segura® Platform para gerenciar e rotacionar automaticamente secrets para aplicações nativas da nuvem. Esta integração aumenta a segurança ao manter secrets fora do código da aplicação e garantir que sejam atualizados regularmente pelo Segura®.

Requisitos

Antes de começar, certifique-se de:

  • A versão 3.29 (ou posterior) da Segura® Platform está instalada com os módulos PAM Core e DevOps Secret Manager.
  • Um secret para gerenciar.
    • Neste exemplo, será usada uma credencial de banco de dados MongoDB em uma instância Ubuntu 20.04 executando MongoDB 7.0.2.
  • Conectividade de rede no TCP/27017 para o exemplo do MongoDB.
  • O mesmo secret já está provisionado no seu Azure Key Vault.
  • O processo automatizado atualizará a senha para este secret existente.
  • A seguir estão os detalhes de conexão do Azure:
    • ID do Tenant.
    • ID de Assinatura.
    • ID do cliente.
    • Secret do Cliente.
    • Nome do Grupo de Recursos.
    • Nome do Cofre de Chaves.

Integrar Segura DSM e Azure Key Vault

O processo de integração requer a conclusão de algumas etapas.

  1. Registre a conta gerenciada criando um novo autenticador de dispositivo na Segura® Platform que represente o sistema que hospeda o secret.
    1. Por exemplo, o servidor MongoDB.
  2. Crie a credencial correspondente, configurando um modelo para a rotação de senhas.
    1. Por exemplo, o modelo MONGODB.
  3. Configure a gestão de senhas, estabelecendo políticas de rotação.
    1. Por exemplo: a frequência em dias, horários específicos, dias da semana, opções de expiração baseadas no tempo ou exposição.
      1. Isso é importante para que a Segura® Platform rotacione automaticamente a senha das credenciais de acordo com o cronograma definido.
  4. Certifique-se de que o secret gerenciado pela Segura® Platform já esteja criado e disponível no seu Azure Key Vault para que a automação subsequente possa atualizar sua senha.
  5. Configure o escopo do DevOps Secret Manager da Segura® Platform definindo um agrupamento lógico ou contexto dentro do módulo DSM para gerenciar secrets relacionados ao Azure Key Vault.
  6. Crie a aplicação Azure Key Vault no DevOps Secret Manager, registrando uma nova aplicação que represente sua instância do Azure Key Vault, fornecendo um nome ou identificador.
  7. Adicione a credencial gerenciada como um secret no DevOps Secret Manager, vinculando a credencial gerenciada pelo PAM Core ao módulo DevOps Secret Manager, e configure os detalhes do ambiente Azure para o modelo de injeção de parâmetros.
    1. Os parâmetros são Tenant, Subscription, Client ID, Client Secret, Resource Group e Key Vault Name.
  8. Crie o URI do Azure no PAM da Segura® Platform, configurando o URI do seu Azure Key Vault como um novo dispositivo, garantindo que ele sirva como o endereço de destino para a conexão com a API do Azure Key Vault.
    1. Observe que a credencial associada é obrigatória, mas não é usada para a conexão com a API.
  9. Automatize a injeção de senhas no Azure Key Vault configurando uma automação que é acionada após uma rotação de senha na Segura® Platform, conectando-se ao Azure Key Vault para atualizar o secret correspondente usando o plugin e template apropriados.
    1. Especifique o URI do Azure Key Vault e suas credenciais associadas.
  10. Verifique a sincronização, garantindo que, após cada rotação de senha na Segura® Platform, a automação seja acionada corretamente e atualize o secret no Azure Key Vault, confirmando que o valor da senha em ambos os sistemas seja idêntico.
  11. Acesse a seção de Políticas de acesso dentro do ambiente do Azure Key Vault e dê as seguintes permissões ao segredo criado: Obter, Listar, Conjunto, Excluir, Recuperar e Backup.

Ao concluir estas etapas, você integrou com sucesso a Segura® Platform ao Azure Key Vault. Esta integração garante que os secrets armazenados no Azure Key Vault se beneficiem das capacidades de rotação de senhas periódica e automatizada, aumentando a segurança das aplicações nativas da nuvem que dependem do Azure Key Vault para seus secrets. Deste modo, a Segura® Platform gerencia o ciclo de vida do secret, enquanto o Azure Key Vault serve como repositório de secrets voltado para a aplicação.