Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Key Vault poskytuje dva typy prostředků pro ukládání a správu kryptografických klíčů. Trezory podporují klíče chráněné softwarem a hsm (modul hardwarového zabezpečení). Spravované moduly HSM podporují pouze klíče chráněné hsm.
| Typ prostředku | Metody ochrany klíčů | Základní adresa URL koncového bodu roviny dat |
|---|---|---|
| Trezory | Chráněné softwarem a hsm chráněné (typy klíčů HSM v SKU Premium) | https://{název_trezoru}.vault.azure.net |
| Spravované hsmy | Chráněný HSM | https://{hsm-name}.managedhsm.azure.net |
- Trezory – Trezory poskytují nízkonákladové, snadné nasazení, víceklientsky odolné proti zónám (pokud je k dispozici), vysoce dostupné řešení pro správu klíčů vhodné pro nejběžnější scénáře cloudových aplikací.
- Spravované HSM – Spravované HSM poskytuje jednoklientové vysoce dostupné moduly HSM pro ukládání a správu kryptografických klíčů. Nejvhodnější pro aplikace a scénáře použití, které zpracovávají klíče s vysokou hodnotou. Pomáhá také splňovat striktní požadavky na zabezpečení, dodržování předpisů a zákonné požadavky.
Poznámka:
Trezory také umožňují kromě kryptografických klíčů ukládat a spravovat několik typů objektů, jako jsou tajné kódy, certifikáty a klíče účtu úložiště.
Kryptografické klíče ve službě Key Vault jsou reprezentovány jako objekty JSON Web Key [JWK]. Specifikace JavaScript Object Notation (JSON) a JavaScript Object Signing and Encryption (JOSE) jsou:
- Webový klíč JSON (JWK)
- Webové šifrování JSON (JWE)
- Webové algoritmy JSON (JWA)
- Webový podpis JSON (JWS)
Základní specifikace JWK/JWA jsou také rozšířeny tak, aby umožňovaly jedinečné typy klíčů pro implementace Azure Key Vaultu a spravovaných HSM.
Klíče HSM v trezorech jsou chráněné moduly HSM; Softwarové klíče nejsou chráněné moduly HSM.
- Klíče uložené v trezorech využívají robustní ochranu pomocí ověření HSM FIPS 140. K dispozici jsou dvě různé platformy HSM: HSM Platform 1, která chrání klíčové verze pomocí FIPS 140-2 úroveň 2 a HSM Platform 2, která chrání klíče pomocí modulů HSM s FIPS 140–3 úroveň 3 v závislosti na tom, kdy byl klíč vytvořen. Všechny nové klíče a verze klíčů se teď vytvářejí pomocí HSM Platform 2 (s výjimkou uk geo). Pokud chcete zjistit, která platforma HSM chrání verzi klíče, získejte její atribut hsmPlatform .
- Managed HSM používá k ochraně vašich klíčů ověřené moduly HSM fiPS 140–3 úrovně 3 . Každý fond HSM je izolovaná instance s jedním tenantem s vlastní doménou zabezpečení, která poskytuje úplnou kryptografickou izolaci od všech ostatních hsM sdílejících stejnou hardwarovou infrastrukturu. Spravované klíče HSM jsou chráněné ve fondech HSM s jedním tenantem. RsA, EC a symetrický klíč můžete importovat v měkké podobě nebo exportem z podporovaného zařízení HSM. Klíče můžete také vygenerovat ve fondech HSM. Při importu klíčů HSM pomocí metody popsané ve specifikaci BYOK (Přineste si vlastní klíč) umožňuje zabezpečený materiál dopravních klíčů do spravovaných fondů HSM.
Další informace o geografických hranicích najdete v Centru zabezpečení Microsoft Azure.
Typy klíčů a metody ochrany
Key Vault Premium a Standard podporují klíče RSA a EC. Managed HSM podporuje RSA, EC a symetrické klíče.
Klíče chráněné pomocí HSM
| Typ klíče | Trezory (jenom skladová položka Premium) | Spravované hsmy |
|---|---|---|
| EC-HSM: Klíč se třemi tečkami | Podporováno (P-256, P-384, P-521, secp256k1/P-256K) | Podporováno (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: Klíč RSA | Podporované (2048bitové, 3072bitové, 4096bitové) | Podporované (2048bitové, 3072bitové, 4096bitové) |
| oct-HSM: Symetrický klíč | Nepodporováno | Podporováno (128bitový, 192bitový, 256bitový) |
Softwarově chráněné klíče
| Typ klíče | Trezory | Spravované hsmy |
|---|---|---|
| RSA: Klíč RSA chráněný softwarem | Podporované (2048bitové, 3072bitové, 4096bitové) | Nepodporováno |
| EC: Softwarově chráněný klíč eliptické křivky | Podporováno (P-256, P-384, P-521, secp256k1/P-256K) | Nepodporováno |
Kompatibilita
| Typ klíče a cíl | Kompatibilita |
|---|---|
| Klíče chráněné softwarem (HSM Platform 0) v trezorech | FIPS 140-2 úroveň 1 |
| Chráněné klíče HSM Platform 1 v trezorech (SKU Premium) | FIPS 140-2 Úroveň 2 |
| Klíče chráněné platformou HSM Platform 2 v trezorech (SKU Premium) | FIPS 140-3 úroveň 3 |
| Klíče ve spravovaném HSM jsou vždy chráněné modulem HSM. | FIPS 140-3 úroveň 3 |
Kvantově odolná, kvantová-bezpečná nebo postkvantová kryptografie
Kryptografie "kvantově odolná", "quantum-safe" a "post-quantum" jsou všechny termíny používané k popisu kryptografických algoritmů, u které se předpokládá, že jsou odolné vůči kryptografickým útokům z klasických i kvantových počítačů. OCT-HSM 256bitových klíčů používaných s algoritmy AES, které nabízí Managed HSM, jsou kvantově odolné. Další informace najdete v tématu Commercial National Security Algorithm Suite 2.0 a Quantum Computing – nejčastější dotazy.
Podrobnosti o jednotlivých typech klíčů, algoritmech a značkách najdete v tématu Typy klíčů, algoritmy, operace, atributy a operace .
Scénáře použití
| Vhodné použití služby | Příklady |
|---|---|
| Šifrování dat na straně serveru Azure pro integrované poskytovatele prostředků s klíči spravovanými zákazníkem | - Šifrování na straně serveru s využitím klíčů spravovaných zákazníkem ve službě Azure Key Vault |
| Šifrování dat na straně klienta | - Šifrování na straně klienta se službou Azure Key Vault |
| Protokol TLS bez klíčů | – Použití klíčových klientských knihoven |