Informace o klíčích
Azure Key Vault poskytuje dva typy prostředků pro ukládání a správu kryptografických klíčů. Trezory podporují klíče chráněné softwarem a hsm (modul hardwarového zabezpečení). Spravované moduly HSM podporují pouze klíče chráněné hsm.
| Typ prostředku | Metody ochrany klíčů | Základní adresa URL koncového bodu roviny dat |
|---|---|---|
| Klenby | Softwarově chráněná a Chráněný HSM (s skladovou jednotkou Premium) |
https://{název_trezoru}.vault.azure.net |
| Spravované hsmy | Chráněný HSM | https://{hsm-name}.managedhsm.azure.net |
- Trezory – Trezory poskytují nízkonákladové, snadné nasazení, víceklientsky odolné proti zónám (pokud je k dispozici), vysoce dostupné řešení pro správu klíčů vhodné pro nejběžnější scénáře cloudových aplikací.
- Spravované HSM – Spravované HSM poskytuje jednoklienta, zónově odolné (tam, kde jsou k dispozici), vysoce dostupné moduly HSM pro ukládání a správu kryptografických klíčů. Nejvhodnější pro aplikace a scénáře použití, které zpracovávají klíče s vysokou hodnotou. Pomáhá také splňovat striktní požadavky na zabezpečení, dodržování předpisů a zákonné požadavky.
Poznámka:
Trezory také umožňují kromě kryptografických klíčů ukládat a spravovat několik typů objektů, jako jsou tajné kódy, certifikáty a klíče účtu úložiště.
Kryptografické klíče ve službě Key Vault jsou reprezentovány jako objekty JSON Web Key [JWK]. Specifikace JavaScript Object Notation (JSON) a JavaScript Object Signing and Encryption (JOSE) jsou:
- Webový klíč JSON (JWK)
- Webové šifrování JSON (JWE)
- Webové algoritmy JSON (JWA)
- Webový podpis JSON (JWS)
Základní specifikace JWK/JWA jsou také rozšířeny tak, aby umožňovaly jedinečné typy klíčů pro implementace Azure Key Vaultu a spravovaných HSM.
Klíče HSM v trezorech jsou chráněné; Softwarové klíče nejsou chráněné moduly HSM.
- Klíče uložené v trezorech využívají robustní ochranu pomocí ověření HSM FIPS 140. K dispozici jsou dvě různé platformy HSM: 1, které chrání verze klíčů pomocí FIPS 140–2 level 2 a 2, které chrání klíče pomocí MODULŮ HSM ÚROVNĚ 140–2 úrovně 3 v závislosti na tom, kdy byl klíč vytvořen. Všechny nové klíče a verze klíčů se teď vytvářejí pomocí platformy 2 (s výjimkou země UK). Pokud chcete zjistit, která platforma HSM chrání verzi klíče, získejte ji hsmPlatform.
- Managed HSM používá k ochraně vašich klíčů ověřené moduly HSM FIPS 140–2 Level 3 . Každý fond HSM je izolovaná instance s jedním tenantem s vlastní doménou zabezpečení, která poskytuje úplnou kryptografickou izolaci od všech ostatních hsM sdílejících stejnou hardwarovou infrastrukturu.
Tyto klíče jsou chráněné ve fondech HSM s jedním tenantem. RsA, EC a symetrický klíč můžete importovat v měkké podobě nebo exportem z podporovaného zařízení HSM. Klíče můžete také vygenerovat ve fondech HSM. Při importu klíčů HSM pomocí metody popsané ve specifikaci BYOK (Přineste si vlastní klíč) umožňuje zabezpečený materiál dopravních klíčů do spravovaných fondů HSM.
Další informace o geografických hranicích najdete v Centru zabezpečení Microsoft Azure.
Typy klíčů a metody ochrany
Key Vault podporuje klíče RSA a EC. Managed HSM podporuje RSA, EC a symetrické klíče.
Klíče chráněné pomocí HSM
| Typ klíče | Trezory (jenom skladová položka Premium) | Spravované hsmy |
|---|---|---|
| EC-HSM: Klíč se třemi tečkami | Podporováno (P-256, P-384, P-521, secp256k1/P-256K) | Podporováno (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: Klíč RSA | Podporované (2048bitové, 3072bitové, 4096bitové) | Podporované (2048bitové, 3072bitové, 4096bitové) |
| oct-HSM: Symetrický klíč | Nepodporováno | Podporováno (128bitový, 192bitový, 256bitový) |
Softwarově chráněné klíče
| Typ klíče | Trezory | Spravované hsmy |
|---|---|---|
| RSA: Klíč RSA chráněný softwarem | Podporované (2048bitové, 3072bitové, 4096bitové) | Nepodporováno |
| EC: "Software-protected" Elliptic Curve key | Podporováno (P-256, P-384, P-521, secp256k1/P-256K) | Nepodporováno |
Dodržování předpisů
| Typ klíče a cíl | Dodržování předpisů |
|---|---|
| Klíče chráněné softwarem (hsmPlatform 0) v trezorech | FIPS 140-2 úroveň 1 |
| Chráněné klíče hsmPlatform 1 v trezorech (skladová položka Premium) | FIPS 140-2 Level 2 |
| Chráněné klíče hsmPlatform 2 v trezorech (skladová položka Premium) | FIPS 140-2 Úroveň 3 |
| Klíče ve spravovaném HSM jsou vždy chráněné modulem HSM. | FIPS 140-2 Úroveň 3 |
Podrobnosti o jednotlivých typech klíčů, algoritmech a značkách najdete v tématu Typy klíčů, algoritmy, operace, atributy a operace .
Scénáře použití
| Vhodné použití služby | Příklady |
|---|---|
| Šifrování dat na straně serveru Azure pro integrované poskytovatele prostředků s klíči spravovanými zákazníkem | - Šifrování na straně serveru s využitím klíčů spravovaných zákazníkem ve službě Azure Key Vault |
| Šifrování dat na straně klienta | - Šifrování na straně klienta se službou Azure Key Vault |
| Protokol TLS bez klíčů | – Použití klíčových klientských knihoven |