Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve o suporte à confiabilidade no Azure Key Vault, abrangendo a resiliência intra-regional por meio de zonas de disponibilidade e implantações de várias regiões.
A confiabilidade é uma responsabilidade compartilhada entre você e a Microsoft. Você pode usar este guia para determinar quais opções de confiabilidade atendem aos seus objetivos de negócios específicos e metas de tempo de atividade.
O Key Vault é um serviço de nuvem que fornece um repositório seguro para segredos, como chaves, senhas, certificados e outras informações confidenciais. O Key Vault fornece uma variedade de recursos internos de confiabilidade para ajudar a garantir que seus segredos permaneçam disponíveis. Esses recursos incluem replicação automática de região, redundância de dados e a capacidade de fazer backup e restaurar seus segredos.
Recomendações de implantação de produção
Para implantações de produção do Key Vault, recomendamos que você execute as seguintes etapas:
Utilize cofres de chaves da camada Standard ou Premium.
Habilite a exclusão suave e a proteção contra exclusão definitiva para evitar a exclusão acidental ou mal-intencionada.
Para cargas de trabalho críticas, considere implementar estratégias de várias regiões descritas neste guia.
Visão geral da arquitetura de confiabilidade
Para garantir alta durabilidade e disponibilidade de suas chaves, segredos e certificados se ocorrer uma falha de hardware ou interrupção de rede, o Key Vault fornece várias camadas de redundância para manter a disponibilidade durante os seguintes eventos:
- Falhas de hardware
- Interrupções de rede
- Desastres localizados
- Atividades de manutenção
Por padrão, o Key Vault obtém redundância replicando seu cofre de chaves e seu conteúdo dentro da região.
Se a região tiver uma região emparelhada e essa região emparelhada estiver na mesma geografia que a região primária, o conteúdo também será replicado para a região emparelhada. Essa abordagem garante alta durabilidade de suas chaves e segredos, que protegem contra falhas de hardware, interrupções de rede ou desastres localizados.
Falhas transitórias
Falhas transitórias são falhas curtas e intermitentes nos componentes. Elas ocorrem com frequência em um ambiente distribuído, como a nuvem, e são uma parte normal das operações. Falhas transitórias se corrigem após um curto período de tempo. É importante que seus aplicativos possam lidar com falhas transitórias, geralmente repetindo solicitações afetadas.
Todos os aplicativos hospedados na nuvem devem seguir as diretrizes transitórias de tratamento de falhas do Azure quando eles se comunicam com qualquer APIs, bancos de dados e outros componentes hospedados na nuvem. Para obter mais informações, confira Recomendações para tratamento de falhas transitórias.
Para lidar com falhas transitórias que possam ocorrer, seus aplicativos cliente devem implementar a lógica de repetição quando interagirem com o Key Vault. Considere as melhores práticas a seguir:
Use os SDKs do Azure, que normalmente incluem mecanismos de repetição internos.
Implemente políticas de repetição de retirada exponencial se seus clientes se conectarem diretamente ao Key Vault.
Armazene segredos na memória quando possível para reduzir as solicitações diretas para o Key Vault.
Monitore os erros de limitação, pois exceder os limites de serviço do Key Vault causará limitação.
Se você usar o Key Vault em cenários de alta taxa de transferência, considere distribuir suas operações em vários cofres de chaves para evitar limites de limitação. Considere as diretrizes específicas do Key Vault para os seguintes cenários:
Um cenário de alta taxa de transferência é aquele que se aproxima ou excede os limites de serviço para operações do Key Vault, como 200 operações por segundo para chaves protegidas por software.
Para cargas de trabalho de alta taxa de transferência, divida o tráfego do Key Vault entre vários cofres e regiões diferentes.
Um limite de assinaturas para todos os tipos de transações será cinco vezes o limite individual do cofre de chaves.
Use um cofre separado para cada domínio de segurança ou disponibilidade. Por exemplo, se você tiver cinco aplicativos em duas regiões, considere usar 10 cofres.
Para operações de chave pública, como criptografia, encapsulamento e verificação, execute essas operações localmente armazenando em cache o material da chave pública.
Para obter mais informações, confira Diretrizes de limitação do Key Vault.
Suporte à zona de disponibilidade
As zonas de disponibilidade são grupos fisicamente separados de datacenters em cada região do Azure. Quando uma zona falha, os serviços podem fazer o failover de uma das zonas restantes.
O Key Vault fornece redundância de zona automaticamente em regiões que dão suporte a zonas de disponibilidade. Essa redundância fornece alta disponibilidade em uma região sem exigir nenhuma configuração específica.
Quando uma zona de disponibilidade fica indisponível, o Key Vault redireciona automaticamente suas solicitações para outras zonas de disponibilidade saudáveis, garantindo alta disponibilidade.
Suporte de regiões
O Key Vault habilita a redundância de zona por padrão em todas as regiões do Azure que dão suporte a zonas de disponibilidade.
Requisitos
Todas as SKUs do Key Vault, Standard e Premium dão suporte ao mesmo nível de disponibilidade e resiliência. Não existem requisitos de nível específicos para alcançar a resiliência de zona.
Custo
Não há custos extras associados à redundância de zona no Key Vault. O preço é baseado no SKU, Standard ou Premium e no número de operações executadas.
Operações normais
Esta seção descreve o que esperar quando os cofres de chaves estão em uma região que tem zonas de disponibilidade e todas as zonas de disponibilidade estão operacionais:
Roteamento de tráfego entre zonas: O Key Vault gerencia automaticamente o roteamento de tráfego entre zonas de disponibilidade. Durante as operações normais, as solicitações são distribuídas entre zonas de forma transparente.
Replicação de dados entre zonas: Os dados do Key Vault são replicados de forma síncrona entre zonas de disponibilidade em regiões que dão suporte a zonas. Essa replicação garante que suas chaves, segredos e certificados permaneçam consistentes e disponíveis mesmo que uma zona fique indisponível.
Experiência de redução de atividade na zona
A seção a seguir descreve o que esperar quando os cofres de chaves estão em uma região que tem zonas de disponibilidade e uma ou mais zonas de disponibilidade não estão disponíveis:
Detecção e resposta: O serviço do Key Vault é responsável por detectar falhas de zona e responder automaticamente a elas. Você não precisa tomar qualquer ação durante uma falha de zona.
Notificação: Você pode monitorar o status do cofre de chaves por meio do Azure Resource Health e do Azure Service Health. Esses serviços fornecem notificações sobre qualquer degradação de serviço.
Solicitações ativas: Durante uma falha de zona, a zona afetada pode falhar ao lidar com solicitações em andamento, o que exige que os aplicativos cliente as repitam. Os aplicativos cliente devem seguir práticas transitórias de tratamento de falhas para garantir que eles possam repetir solicitações se ocorrer uma falha de zona.
Perda de dados esperada: Nenhuma perda de dados é esperada durante uma falha de zona devido à replicação síncrona entre zonas.
Tempo de inatividade esperado: Para operações de leitura, deve haver um tempo mínimo ou nenhum de inatividade durante uma falha de zona. As operações de gravação podem apresentar indisponibilidade temporária durante o ajuste do serviço à falha de zona. Espera-se que as operações de leitura permaneçam disponíveis durante falhas de zona.
Redirecionamento de tráfego: O Key Vault redireciona automaticamente o tráfego da zona afetada para zonas íntegras sem exigir nenhuma intervenção do cliente.
Recuperação de zona
Quando a zona de disponibilidade afetada se recupera, o Key Vault restaura automaticamente as operações nessa zona. A plataforma do Azure gerencia totalmente esse processo e não requer nenhuma intervenção do cliente.
Suporte para várias regiões
Os recursos do Key Vault são implantados em uma única região do Azure. Se a região ficar indisponível, o cofre de chaves também ficará indisponível. No entanto, existem abordagens que você pode usar para ajudar a garantir resiliência diante de falhas regionais. Essas abordagens dependem se o cofre de chaves está em uma região emparelhada ou não e em seus requisitos e configuração específicos.
Failover gerenciado pela Microsoft para uma região emparelhada
O Key Vault dá suporte à replicação gerenciada pela Microsoft e failover para cofres de chaves na maioria das regiões emparelhadas. O conteúdo do cofre de chaves é replicado automaticamente dentro da região e, de forma assíncrona, para a região emparelhada. Essa abordagem garante a alta durabilidade de seus segredos e chaves. No caso improvável de uma falha prolongada na região, a Microsoft poderá iniciar um failover regional do cofre de chaves.
As seguintes regiões não dão suporte à replicação gerenciada pela Microsoft ou failover entre regiões:
- Sul do Brasil
- Sudeste do Brasil
- Oeste dos EUA 3
- Qualquer região que não tenha uma região emparelhada
Importante
A Microsoft dispara o failover gerenciado pela Microsoft. É provável que ocorra após um atraso significativo e seja feito empreendendo o máximo esforço. Há também algumas exceções a esse processo. O failover de cofres de chaves pode ocorrer em um momento diferente do tempo de failover de outros serviços do Azure.
Se você precisar ser resiliente a interrupções de região, considere usar uma das abordagens alternativas de várias regiões.
Você também pode usar o recurso de backup e restauração para replicar o conteúdo do cofre para outra região de sua escolha.
Considerações
Tempo de inatividade: enquanto o failover estiver em andamento, seu cofre de chaves poderá ficar indisponível por alguns minutos.
Somente leitura após o failover: após o failover, o cofre de chaves se torna somente leitura e dá suporte apenas a ações limitadas. Não é possível alterar as propriedades do cofre de chaves durante a operação na região secundária e as configurações de firewall e política de acesso não podem ser modificadas durante a operação na região secundária.
Quando seu cofre de chaves estiver no modo somente leitura, apenas as seguintes operações terão suporte:
- Listar certificados
- Obter certificados
- Listar segredos
- Obter segredos
- Listar chaves
- Obter (propriedades das) chaves
- Criptografar
- Desencriptar
- Encapsular
- Desembrulhar
- Verify
- Assinar
- Backup
Custo
Não há custos extras pelas capacidades internas de replicação multirregional do Key Vault.
Operações normais
A seção a seguir descreve o que esperar quando um cofre de chaves estiver localizado em uma região com suporte à replicação e failover gerenciados pela Microsoft e a região primária estiver operacional:
Roteamento de tráfego entre regiões: Durante operações normais, todas as solicitações são roteadas para a região primária em que o Key Vault está implantado.
Replicação de dados entre regiões: O Key Vault replica dados de forma assíncrona para a região emparelhada. Quando você faz alterações no conteúdo do cofre de chaves, essas alterações são confirmadas pela primeira vez na região primária e replicadas para a região secundária.
Experiência de região inoperante
A seção a seguir descreve o que esperar quando um cofre de chaves estiver localizado em uma região com suporte à replicação e failover gerenciados pela Microsoft e houver uma interrupção na região primária:
Detecção e resposta: A Microsoft pode decidir executar um failover se a região primária for perdida. Esse processo pode levar várias horas após a perda da região primária ou mais tempo em alguns cenários. O failover de cofres de chaves poderá não ocorrer ao mesmo tempo que outros serviços do Azure.
Notificação: Você pode monitorar o status do seu cofre de chaves por meio do Azure Resource Health e das notificações do Azure Service Health.
Solicitações ativas: Durante um failover de região, as solicitações ativas podem falhar e os aplicativos cliente precisam repeti-las após a conclusão do failover.
Perda de dados esperada: Pode haver alguma perda de dados se as alterações não forem replicadas para a região secundária antes que a região primária falhe.
Tempo de inatividade esperado: durante uma grande interrupção da região primária, o cofre de chaves pode ficar indisponível por várias horas ou até que a Microsoft inicie o failover para a região secundária.
Se você usar Link Privado para se conectar ao seu cofre de chaves, a conexão poderá demorar até 20 minutos para ser restabelecida após o failover da região.
Redirecionamento de tráfego: Após a conclusão de um failover de região, as solicitações são roteadas automaticamente para a região emparelhada sem a necessidade de nenhuma intervenção do cliente.
Abordagens alternativas de várias regiões
Há cenários em que os recursos de failover entre regiões gerenciados pela Microsoft do Key Vault não são adequados:
Seu cofre de chaves está em uma região não pareada.
Seu cofre de chaves está em uma região emparelhada que não dá suporte à replicação e failover entre regiões gerenciadas pela Microsoft no Sul do Brasil, Sudeste do Brasil e Oeste dos EUA 3.
Suas metas de tempo de atividade de negócios não são atendidas pelo tempo de recuperação ou perda de dados que o failover entre regiões gerenciado pela Microsoft fornece.
Você precisa fazer failover para uma região que não seja o par da região primária.
Você pode criar uma solução personalizada de failover entre regiões executando as seguintes etapas:
Crie cofres de chaves separados em regiões diferentes.
Use a funcionalidade de backup e restauração para manter segredos consistentes entre regiões.
Implemente a lógica no nível do aplicativo para fazer failover entre os cofres de chaves.
Cópias de segurança
O Key Vault pode fazer backup e restaurar segredos, chaves e certificados individuais. Os backups destinam-se a fornecer uma cópia offline de seus segredos no caso improvável de você perder o acesso ao cofre de chaves.
Considere os seguintes fatores-chave em relação à funcionalidade de backup:
Os backups criam blobs criptografados que não podem ser descriptografados fora do Azure.
Os backups só podem ser restaurados para um cofre de chaves na mesma assinatura do Azure e na mesma região do Azure.
Há uma limitação de fazer backup de no máximo 500 versões anteriores de uma chave, segredo ou objeto de certificado.
Os backups são instantâneos pontuais e não são atualizados automaticamente quando os segredos são alterados.
Para a maioria das soluções, você não deve depender exclusivamente de backups. Em vez disso, use as outras funcionalidades descritas neste guia para dar suporte aos seus requisitos de resiliência. No entanto, os backups protegem contra alguns riscos que outras abordagens não cobrem, como a exclusão acidental de segredos específicos. Para obter mais informações, consulte o backup do Key Vault.
Recursos de recuperação
O Key Vault fornece dois recursos de recuperação de chave para evitar exclusão acidental ou mal-intencionada:
Exclusão temporária: quando habilitada, a exclusão temporária permite que você recupere cofres e objetos excluídos durante um período de retenção configurável. Este período é padronizado para 90 dias. Pense na exclusão temporária como uma lixeira para os recursos do cofre de chaves.
Proteção contra exclusão: Quando habilitada, a proteção contra exclusão impede a exclusão permanente do cofre de chaves e de seus objetos até que o período de retenção expire. Essa proteção impede que atores mal-intencionados destruam permanentemente seus segredos.
Recomendamos fortemente ambos os recursos para ambientes de produção. Para obter mais informações, confira Proteção contra exclusão temporária e limpeza na documentação de gerenciamento de recuperação do Key Vault.
Contrato de nível de serviço
O SLA (contrato de nível de serviço) do Key Vault descreve a disponibilidade esperada do serviço e as condições que devem ser atendidas para atingir essa expectativa de disponibilidade. Para obter mais informações, consulte os SLAs para serviços online.