Saltar al contenido principal
Usar Customer Managed Keys de Auth0 le permite configurar el ciclo de vida de la clave maestra del inquilino y aportar su propia Customer Provided Root Key para reemplazar la clave raíz del entorno de su inquilino de Auth0. Customer Managed Keys ofrece dos métodos para administrar sus claves:
  • Controle su propia clave: Permite a los usuarios con el rol Key Management Editor personalizar el ciclo de vida de la clave maestra del inquilino en Auth0 KMS.
  • Aporte su propia clave: Permite a los usuarios con el rol Key Management Editor reemplazar la clave raíz del entorno de Auth0 e importar su propia clave de cifrado encapsulada al módulo de seguridad de hardware (HSM) correspondiente de Auth0 Cloud.
Para obtener más información sobre las claves de Auth0, lea la jerarquía de claves de Auth0.
La funcionalidad Customer Managed Keys está disponible para los usuarios con el rol Key Management Editor. Este rol no se asigna a los usuarios de forma predeterminada y debe asignarse explícitamente a un miembro del inquilino. Para obtener más información, consulte Agregar miembros del inquilino.

Controle su propia clave

Puede controlar el ciclo de vida de la clave maestra de su Tenant con el endpoint Rekey de la Auth0 para:
  • Rotar la clave maestra anterior del Tenant por una nueva clave maestra del Tenant.
  • Rotar y volver a cifrar las clave de espacio de nombres con la nueva clave maestra del Tenant.

Permisos

Utilice los siguientes permisos para otorgar acceso a los endpoints de rekey:
PermisosDescripciones
create:encryption_keys update:encryption_keysLos usuarios pueden rotar y volver a cifrar la jerarquía de claves de un inquilino de Auth0 mediante el endpoint Rekey de la Management API.

Endpoint

Use el endpoint Rekey de la Management API para rotar la clave maestra del inquilino, así como para rotar y volver a cifrar las claves de espacio de nombres.
  • Rotar la clave maestra del inquilino: desactiva la clave maestra del inquilino que está activa actualmente y crea una nueva.
  • Rotar todas las claves de espacio de nombres del inquilino: desactiva las claves activas actualmente y activa claves nuevas.
    • Las nuevas claves de espacio de nombres se usan en operaciones de cifrado nuevas.
    • Las claves de espacio de nombres desactivadas se usan para descifrar datos cifrados previamente.
  • Vuelve a cifrar todas las claves de espacio de nombres existentes con la nueva clave maestra del inquilino.
El endpoint solo está disponible para los miembros del inquilino con alcances de autorización específicos en Auth0; de forma predeterminada, estos alcances se conceden a los usuarios con el rol Key Management Editor.

Bring Your Own Key

Al importar su propia Customer Provided Root Key con Bring Your Own Key, desautoriza implícitamente a Auth0 para gestionar el ciclo de vida de la Customer Provided Root Key, excepto su eliminación.
Bring Your Own Key permite a los editores de gestión de claves importar de forma segura una Wrapped Encryption Key (Customer Provided Root Key) a un módulo de seguridad de hardware (HSM) FIPS 140-2 de nivel 3 en la nube de Auth0 correspondiente. Con Bring Your Own Key, puede:
  • Reemplazar la clave raíz del entorno predeterminada generada por Auth0 por una nueva Customer Provided Root Key.
  • Rotar y volver a cifrar la jerarquía de claves con la Customer Provided Root Key. Por ejemplo, crear y volver a cifrar una nueva clave maestra del inquilino y una nueva Namespace Key.
Puede usar el Dashboard o la Management API para habilitar Bring Your Own Key.

Monitorizar los eventos de registro de Customer Managed Keys

Auth0 rota automáticamente las claves de cifrado del inquilino una vez al año y añade los siguientes eventos de registro a los registros de su inquilino:
  • kms_key_state_changed
  • kms_key_management_success
Las operaciones de Customer Managed Keys añaden los siguientes eventos de registro a sus registros del inquilino: Un código de evento sapi que indica:
  • La creación de una nueva clave de cifrado
  • La creación de la clave pública de encapsulado
  • La importación de la clave de cifrado
  • La eliminación de la clave de cifrado por su id de clave
  • La regeneración de la jerarquía de claves
Un código de evento kms_key_management_success que indica una operación de KMS correcta. Un código de evento kms_key_management_failure que indica una operación de KMS fallida. Un código de evento kms_key_state_changed que indica un cambio en el estado de una clave de KMS.

Jerarquía de claves de Auth0

En la capa de aplicación de Auth0, Auth0 protege los secretos y los datos de los clientes mediante cifrado de sobre. La jerarquía de cifrado de sobre de Auth0 consta de las siguientes claves, cada una cifrada con la clave que tiene por encima. La siguiente tabla resume la jerarquía de claves:
ClaveAlgoritmoAlmacenamiento
Clave raíz del entornoRSA 2048 OAEP (Auth0 en Azure)
AES-256-GCM (Auth0 en AWS)		Módulo de seguridad de hardware FIPS 140-2 L3
Clave maestra del inquilinoAES-256-GCMBase de datos KMS de Auth0
Clave de espacio de nombresAES-256-GCMBase de datos KMS de Auth0
Clave de cifrado de datosAES-256-GCMSe almacena junto a los datos

Clave raíz del entorno

La clave raíz del entorno representa la parte superior de la jerarquía y encapsula la clave maestra del inquilino para evitar que quede expuesta o sea manipulada fuera de Auth0. Se genera una clave raíz del entorno de Auth0 independiente para cada entorno de Auth0 y se almacena en un HSM adyacente. Los HSM se implementan en una configuración multirregional de alta disponibilidad. Esto significa que los HSM conmutarán a otra región en caso de un incidente grave que afecte a toda una región. La clave raíz del entorno de Auth0 se comparte entre todos los inquilinos. Los clientes pueden usar la funcionalidad Bring Your Own Key para disponer de una clave raíz del entorno dedicada para su inquilino. Auth0 usa los siguientes algoritmos para encapsular la clave maestra del inquilino con la clave raíz del entorno según su proveedor de servicios en la nube de Auth0:
  • Auth0 en Azure: RSA 2048 OAEP
  • Auth0 en AWS: AES 256 GCM
Mediante Auth0 Dashboard o Management API, los administradores del inquilino pueden reemplazar la clave raíz del entorno de Auth0 por su propia Customer Provided Root Key.

Claves maestras del tenant

Cada inquilino tiene una clave maestra del inquilino cifrada, almacenada en el servicio de administración de claves de Auth0, que cifra las claves de espacio de nombres. El algoritmo que se utiliza para cifrar la clave maestra del inquilino es AES256 GCM.
Cuando un administrador del inquilino usa Auth0 Dashboard o la Management API y proporciona su propia Customer Provided Root Key, se crea una nueva clave maestra del inquilino.

Claves de espacio de nombres

Las claves de espacio de nombres separan las claves de cifrado que se usan con distintos fines dentro del inquilino. Auth0 configura internamente la cantidad y el uso de las claves de espacio de nombres, y no se pueden personalizar. El cifrado y descifrado de las claves de espacio de nombres requieren acceso a la clave maestra del inquilino. Las claves de espacio de nombres nunca salen del servicio de administración de claves de Auth0 y no son accesibles para desarrolladores ni administradores. Las claves de espacio de nombres se encuentran en el servicio de administración de claves de Auth0 y están cifradas con el algoritmo  AES256 GCM.

Claves de cifrado de datos

El Servicio de administración de claves de Auth0 genera de forma segura distintas claves de cifrado de datos para las solicitudes posteriores de cifrado de datos. El Servicio de administración de claves de Auth0 optimiza la seguridad y el rendimiento mediante la emisión periódica de nuevas claves de cifrado de datos. El cifrado y descifrado de las claves de cifrado de datos requieren acceso a la clave de espacio de nombres asignada. Las claves de cifrado de datos no pueden descifrarse fuera del Servicio de administración de claves de Auth0 ni por los editores de administración de claves. Las claves de cifrado de datos se almacenan junto a los datos y están cifradas con el algoritmo AES256 GCM.