Správa klíčů v Azure
Poznámka
nulová důvěra (Zero Trust) je strategie zabezpečení, která se skládá ze tří principů: "Explicitní ověření", "Použít přístup s nejnižšími oprávněními" a "Předpokládat porušení zabezpečení". Ochrana dat, včetně správy klíčů, podporuje princip "použít přístup s nejnižšími oprávněními". Další informace najdete v tématu Co je nulová důvěra (Zero Trust)?
V Azure můžou být šifrovací klíče spravované platformou nebo spravované zákazníkem.
Klíče spravované platformou (PMK) jsou šifrovací klíče generované, uložené a spravované výhradně v Azure. Zákazníci neinteragují se sadami PMK. Klíče používané například pro Šifrování neaktivních uložených dat Azure jsou ve výchozím nastavení sady PMK.
Klíče spravované zákazníkem (CMK) jsou naopak klíče přečtené, vytvořené, odstraněné, aktualizované nebo spravované jedním nebo několika zákazníky. Klíče uložené v trezoru klíčů vlastněného zákazníkem nebo modulu hardwarového zabezpečení (HSM) jsou klíče CMK. Přineste si vlastní klíč (BYOK) je scénář cmk, ve kterém zákazník importuje (přináší) klíče z umístění mimo úložiště do služby správy klíčů Azure (viz specifikace Azure Key Vault: Používání vlastního klíče).
Konkrétním typem klíče spravovaného zákazníkem je šifrovací klíč klíče (KEK). Klíč KEK je primární klíč, který řídí přístup k jednomu nebo několika šifrovacím klíčům, které jsou samy šifrované.
Klíče spravované zákazníkem můžou být uložené místně nebo častěji ve službě správy cloudových klíčů.
Služby správy klíčů Azure
Azure nabízí několik možností pro ukládání a správu klíčů v cloudu, včetně Azure Key Vault, Azure Managed HSM, Azure Dedicated HSM a Azure Payment HSM. Tyto možnosti se liší z hlediska úrovně dodržování předpisů FIPS, režijních nákladů na správu a zamýšlených aplikací.
Přehled jednotlivých služeb správy klíčů a komplexního průvodce výběrem správného řešení správy klíčů najdete v tématu Jak zvolit správné řešení správy klíčů.
Ceny
Úrovně Azure Key Vault Standard a Premium se účtují na základě transakcí s měsíčními poplatky podle klíče za klíče úrovně Premium s hardwarovým základem. Spravované HSM, vyhrazené HSM a Platby HSM se neúčtují na základě transakcí. Místo toho se jedná o zařízení, která se vždy používají a účtují se pevnou hodinovou sazbou. Podrobné informace o cenách najdete v tématech ceny Key Vault, Ceny služby Dedicated HSM a Ceny HSM pro platby.
Omezení služby
Spravovaná hsm, vyhrazený HSM a Platby HSM nabízejí vyhrazenou kapacitu. Key Vault Standard a Premium jsou nabídky pro více tenantů a mají omezení omezování. Informace o omezeních služby najdete v tématu limity služby Key Vault.
Šifrování v klidovém stavu
Azure Key Vault a Azure Key Vault Managed HSM mají integraci se službami Azure a Microsoft 365 pro klíče spravované zákazníkem, což znamená, že zákazníci můžou k šifrování dat uložených v těchto službách používat vlastní klíče v Azure Key Vault a spravovaném HSM pomocí klíčů Azure. Vyhrazené HSM a Platby HSM jsou nabídky infrastruktury jako služby a nenabízejí integraci se službami Azure. Přehled šifrování neaktivních uložených dat pomocí Azure Key Vault a spravovaného HSM najdete v tématu Šifrování neaktivních uložených dat Azure.
Rozhraní API
Vyhrazené HSM a Platby HSM podporují rozhraní API PKCS#11, JCE/JCA a KSP/CNG, ale Azure Key Vault a Managed HSM nikoli. Azure Key Vault a spravovaný HSM využívají rozhraní Azure Key Vault REST API a nabízejí podporu sady SDK. Další informace o rozhraní Azure Key Vault API najdete v tématu Referenční informace k rozhraní AZURE Key Vault REST API.