Azure Key Vault centraliza secretos, claves criptográficas y certificados. El AZ-305 evalúa el diseño: qué tier elegir según requisitos de HSM y compliance, cómo dar acceso (RBAC vs policies), cuántos vaults, y cómo proteger contra borrado.
Contenido
Secrets
Keys
Certificates
| Oferta | Protección de claves | Cuándo elegirla |
|---|---|---|
| Key Vault Standard | Claves protegidas por software | Default para secretos, certs y claves sin requisito HSM |
| Key Vault Premium | Claves respaldadas por HSM FIPS 140-2 Level 2 (multi-tenant) | Compliance que exige HSM (CMK con HSM, PCI). Mismo API, costo moderado |
| Managed HSM | HSM dedicado single-tenant, FIPS 140-2 Level 3, dominio de seguridad propio | Regulación estricta (banca, gobierno): control total del dominio criptográfico, claves nunca compartidas con otros tenants |
| Dedicated HSM / Cloud HSM | Appliance HSM dedicado (Thales) | Lift-and-shift de apps que hablan PKCS#11 directamente — sin integración con servicios Azure |
Señales en el examen
"FIPS 140-2 Level 2" → Key Vault Premium. "FIPS 140-2 Level 3" o "single-tenant HSM" → Managed HSM. "Solo secretos de aplicación" → Standard basta.
Azure RBAC (recomendado)
Access policies (legacy)
¿Cuántos vaults?
Recomendación: un vault por aplicación, por ambiente, por región. El vault es el límite de seguridad y de throttling — compartir un vault entre apps mezcla blast radius, límites de requests y permisos. Vaults son gratis (pagas por operaciones), no hay razón de costo para compartirlos.
Borrado y recuperación
Red y resiliencia
| Patrón | Cómo |
|---|---|
| App lee secretos sin credenciales | Managed Identity + rol Key Vault Secrets User |
| App Service consume secretos transparentemente | Key Vault references en app settings (@Microsoft.KeyVault(...)) |
| AKS consume secretos | Secrets Store CSI Driver con workload identity |
| Cifrado de Storage/SQL/Disks con clave propia | CMK: clave en Key Vault + managed identity del servicio con permisos wrap/unwrap |
| Rotación de claves automática | Rotation policy en la clave (auto-rotate) + servicios apuntando a la versión "latest" |
| Rotación de secretos de terceros | Event Grid (evento near-expiry) → Function que rota en el sistema externo y actualiza el secreto |
| Cero secretos | El mejor secreto es el que no existe: Managed Identity para todo lo que lo soporte |
| Requisito | Diseño |
|---|---|
| Guardar connection strings de una app | Key Vault Standard + Managed Identity + RBAC |
| CMK con HSM FIPS 140-2 Level 2 | Key Vault Premium |
| Banca exige HSM single-tenant Level 3 | Managed HSM |
| Evitar pérdida de CMKs por purga accidental/maliciosa | Soft delete + purge protection |
| El vault solo accesible desde la VNet | Private Endpoint + denegar acceso público |
| Granularidad de permisos por secreto individual | Modelo RBAC (no access policies) |
| Apps separadas sin compartir blast radius | Un vault por app/ambiente/región |
| Certificado TLS que se renueva solo | Key Vault certificate con CA integrada y auto-renewal |
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Un banco diseña el cifrado de sus datos en Azure: las claves de cifrado deben (1) estar en un HSM validado FIPS 140-2 Level 3 de tenant único, (2) ser irrecuperablemente protegidas contra purga, y (3) usarse como Customer-Managed Keys para Storage y SQL. ¿Qué solución eliges?
Inicia sesión para llevar tu progreso.