Sdílet prostřednictvím


Informace o klíčích

Azure Key Vault poskytuje dva typy prostředků pro ukládání a správu kryptografických klíčů. Trezory podporují klíče chráněné softwarem a hsm (modul hardwarového zabezpečení). Spravované moduly HSM podporují pouze klíče chráněné hsm.

Typ prostředku Metody ochrany klíčů Základní adresa URL koncového bodu roviny dat
Trezory Chráněné softwarem a hsm chráněné (typy klíčů HSM v SKU Premium) https://{název_trezoru}.vault.azure.net
Spravované hsmy Chráněný HSM https://{hsm-name}.managedhsm.azure.net
  • Trezory – Trezory poskytují nízkonákladové, snadné nasazení, víceklientsky odolné proti zónám (pokud je k dispozici), vysoce dostupné řešení pro správu klíčů vhodné pro nejběžnější scénáře cloudových aplikací.
  • Spravované HSM – Spravované HSM poskytuje jednoklientové vysoce dostupné moduly HSM pro ukládání a správu kryptografických klíčů. Nejvhodnější pro aplikace a scénáře použití, které zpracovávají klíče s vysokou hodnotou. Pomáhá také splňovat striktní požadavky na zabezpečení, dodržování předpisů a zákonné požadavky.

Poznámka:

Trezory také umožňují kromě kryptografických klíčů ukládat a spravovat několik typů objektů, jako jsou tajné kódy, certifikáty a klíče účtu úložiště.

Kryptografické klíče ve službě Key Vault jsou reprezentovány jako objekty JSON Web Key [JWK]. Specifikace JavaScript Object Notation (JSON) a JavaScript Object Signing and Encryption (JOSE) jsou:

Základní specifikace JWK/JWA jsou také rozšířeny tak, aby umožňovaly jedinečné typy klíčů pro implementace Azure Key Vaultu a spravovaných HSM.

Klíče HSM v trezorech jsou chráněné moduly HSM; Softwarové klíče nejsou chráněné moduly HSM.

  • Klíče uložené v trezorech využívají robustní ochranu pomocí ověření HSM FIPS 140. K dispozici jsou dvě různé platformy HSM: 1, které chrání verze klíčů pomocí FIPS 140–2 level 2 a 2, které chrání klíče pomocí MODULŮ HSM ÚROVNĚ 140–2 úrovně 3 v závislosti na tom, kdy byl klíč vytvořen. Všechny nové klíče a verze klíčů se teď vytvářejí pomocí platformy 2 (s výjimkou země UK). Pokud chcete zjistit, která platforma HSM chrání verzi klíče, získejte ji hsmPlatform.
  • Managed HSM používá k ochraně vašich klíčů ověřené moduly HSM FIPS 140–2 Level 3 . Každý fond HSM je izolovaná instance s jedním tenantem s vlastní doménou zabezpečení, která poskytuje úplnou kryptografickou izolaci od všech ostatních hsM sdílejících stejnou hardwarovou infrastrukturu. Spravované klíče HSM jsou chráněné ve fondech HSM s jedním tenantem. RsA, EC a symetrický klíč můžete importovat v měkké podobě nebo exportem z podporovaného zařízení HSM. Klíče můžete také vygenerovat ve fondech HSM. Při importu klíčů HSM pomocí metody popsané ve specifikaci BYOK (Přineste si vlastní klíč) umožňuje zabezpečený materiál dopravních klíčů do spravovaných fondů HSM.

Další informace o geografických hranicích najdete v Centru zabezpečení Microsoft Azure.

Typy klíčů a metody ochrany

Key Vault podporuje klíče RSA a EC. Managed HSM podporuje RSA, EC a symetrické klíče.

Klíče chráněné pomocí HSM

Typ klíče Trezory (jenom skladová položka Premium) Spravované hsmy
EC-HSM: Klíč se třemi tečkami Podporováno (P-256, P-384, P-521, secp256k1/P-256K) Podporováno (P-256, secp256k1/P-256K, P-384, P-521)
RSA-HSM: Klíč RSA Podporované (2048bitové, 3072bitové, 4096bitové) Podporované (2048bitové, 3072bitové, 4096bitové)
oct-HSM: Symetrický klíč Nepodporováno Podporováno (128bitový, 192bitový, 256bitový)

Softwarově chráněné klíče

Typ klíče Trezory Spravované hsmy
RSA: Klíč RSA chráněný softwarem Podporované (2048bitové, 3072bitové, 4096bitové) Nepodporováno
EC: "Software-protected" Elliptic Curve key Podporováno (P-256, P-384, P-521, secp256k1/P-256K) Nepodporováno

Kompatibilita

Typ klíče a cíl Kompatibilita
Klíče chráněné softwarem (hsmPlatform 0) v trezorech FIPS 140-2 úroveň 1
Chráněné klíče hsmPlatform 1 v trezorech (skladová položka Premium) FIPS 140-2 Level 2
Chráněné klíče hsmPlatform 2 v trezorech (skladová položka Premium) FIPS 140-2 Úroveň 3
Klíče ve spravovaném HSM jsou vždy chráněné modulem HSM. FIPS 140-2 Úroveň 3

Podrobnosti o jednotlivých typech klíčů, algoritmech a značkách najdete v tématu Typy klíčů, algoritmy, operace, atributy a operace .

Scénáře použití

Vhodné použití služby Příklady
Šifrování dat na straně serveru Azure pro integrované poskytovatele prostředků s klíči spravovanými zákazníkem - Šifrování na straně serveru s využitím klíčů spravovaných zákazníkem ve službě Azure Key Vault
Šifrování dat na straně klienta - Šifrování na straně klienta se službou Azure Key Vault
Protokol TLS bez klíčů – Použití klíčových klientských knihoven

Další kroky