Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Poznámka:
nulová důvěra (Zero Trust) je strategie zabezpečení, která obsahuje tři principy: "Ověřit explicitně", "Použít přístup s nejnižšími oprávněními" a "Předpokládat porušení zabezpečení". Ochrana dat, včetně správy klíčů, podporuje princip "použití přístupu s nejnižšími oprávněními". Další informace najdete v tématu Co je nulová důvěra (Zero Trust)?
V Azure můžou být šifrovací klíče spravované platformou nebo spravované zákazníkem.
Klíče spravované platformou (PMK) jsou šifrovací klíče generované, uložené a spravované výhradně v Azure. Zákazníci neinteragují s PMK. Klíče používané například pro službu Azure Data Encryption-at-Rest jsou ve výchozím nastavení PMKs.
Klíče spravované zákazníkem (CMK) jsou naopak klíče přečtené, vytvořené, odstraněné, aktualizované a/nebo spravované jedním nebo více zákazníky. Klíče uložené v trezoru klíčů vlastněných zákazníkem nebo modulu hardwarového zabezpečení (HSM) jsou klíče CMK. Přineste si vlastní klíč (BYOK) je scénář CMK, ve kterém zákazník importuje klíče z externího úložiště do služby správy klíčů Azure (viz specifikaci Azure Key Vault: Bring Your Own Key).
Konkrétním typem klíče spravovaného zákazníkem je "šifrovací klíč pro klíče" (KEK). Klíč KEK je primární klíč, který řídí přístup k jednomu nebo více šifrovacím klíčům, které jsou zašifrované.
Klíče spravované zákazníkem se dají ukládat místně nebo častěji ve službě pro správu cloudových klíčů.
Služby správy klíčů Azure
Azure nabízí několik možností pro ukládání a správu klíčů v cloudu, včetně Azure Key Vaultu, spravovaného HSM služby Azure Key Vault, Azure Cloud HSM a Azure Payment HSM. Tyto možnosti se liší z hlediska úrovně dodržování předpisů FIPS, režie správy a zamýšlených aplikací.
Komplexní průvodce výběrem správného řešení správy klíčů pro konkrétní potřeby najdete v tématu Jak zvolit správné řešení správy klíčů.
Azure Key Vault (úroveň Standard)
FiPS 140–2 Level 1 ověřila službu správy víceklientských cloudových klíčů, která se dá použít k ukládání asymetrických klíčů, tajných kódů a certifikátů. Klíče uložené ve službě Azure Key Vault jsou softwarově chráněné a dají se použít pro šifrování dat v klidu a vlastní aplikace. Azure Key Vault Standard poskytuje moderní rozhraní API a šířku regionálních nasazení a integrací se službami Azure. Další informace najdete v tématu o službě Azure Key Vault.
Azure Key Vault (úroveň Premium)
FIPS 140-3 na úrovni 3 ověřená, kompatibilní s PCI, víceklientská HSM služba, která se dá použít k ukládání asymetrických klíčů, tajných údajů a certifikátů. Klíče jsou uložené v zabezpečené hardwarové hranici pomocí modulů HSM Marvell LiquidSecurity*. Microsoft spravuje a provozuje základní HSM a klíče uložené ve službě Azure Key Vault Premium je možné použít pro šifrování uložených dat a v rámci vlastních aplikací. Azure Key Vault Premium také poskytuje moderní rozhraní API a řadu regionálních nasazení a integrace se službami Azure.
Důležité
Integrovaný HSM Azure: Počínaje novým hardwarem serveru Azure (AMD D a E Series v7 Preview) se čipy HSM navržené Microsoftem vkládají přímo na servery a splňují standardy FIPS 140–3 úrovně 3. Tyto čipy odolné proti manipulaci udržují šifrovací klíče v rámci zabezpečených hardwarových hranic a eliminují rizika latence a expozice. Integrovaný HSM ve výchozím nastavení funguje transparentně pro podporované služby, jako je Azure Key Vault a šifrování Azure Storage, a poskytuje důvěryhodnost vynucenou hardwarem bez další konfigurace. Tato integrace zajišťuje, že kryptografické operace využívají izolaci zabezpečení na úrovni hardwaru a současně udržují výkon a škálovatelnost cloudových služeb.
Pokud jste zákazníkem Azure Key Vault Premium, který hledá klíčovou suverenitu, jednonájemnickou architekturu a/nebo vyšší kryptografické operace za sekundu, můžete zvážit použití Azure Key Vault Managed HSM. Další informace najdete v tématu o službě Azure Key Vault.
Managed HSM služby Azure Key Vault
Ověřená nabídka HSM splňující FIPS 140-2 Level 3 pro jednoho nájemce, která poskytuje zákazníkům úplnou kontrolu nad modulem HSM pro šifrování dat v klidovém stavu, odlehčení SSL/TLS bez klíčů a vlastní aplikace. Spravovaný HSM služby Azure Key Vault je jediné řešení pro správu klíčů nabízející důvěrné klíče. Zákazníci obdrží fond tří oddílů HSM, které společně fungují jako jedno logické a vysoce dostupné zařízení HSM, řízené službou, která zpřístupňuje kryptografické funkce prostřednictvím rozhraní API Key Vault. Microsoft zpracovává zřizování, aktualizace, údržbu a hardwarové převzetí služeb při selhání modulů hardwarového zabezpečení, ale nemá přístup k samotným klíčům, protože služba se provádí v rámci Důvěryhodné výpočetní infrastruktury Azure. Spravovaný HSM služby Azure Key Vault je integrovaný se službami Azure SQL, Azure Storage a PaaS služby Azure Information Protection a nabízí podporu pro protokol TLS bez klíčů s F5 a Nginx. Další informace najdete v tématu Co je spravovaný HSM služby Azure Key Vault?.
Azure Dedicated HSM
Jedná se o FIPS 140-2 Level 3 ověřenou nabídku HSM s jedním tenantem, která zákazníkům poskytuje plnou kontrolu nad HSM pro PKCS#11, vyložení zpracování SSL/TLS, ochranu privátních klíčů certifikační autority, transparentní šifrování dat, včetně podepisování dokumentů a kódu, a vlastních aplikací. Zákazník má plnou kontrolu nad správou clusteru HSM. I když zákazníci vlastní implementaci a inicializaci HSM, Microsoft se stará o zřizování a hostování služby HSM. Azure Dedicated HSM podporuje existující případy použití, včetně migrace úloh metodou "lift-and-shift", PKI, SSL offloading, bezklíčové TLS, aplikací OpenSSL, Oracle TDE a Azure SQL TDE IaaS. Azure Dedicated HSM není integrovaný s žádnou nabídkou Azure PaaS. Další informace najdete v tématu Co je Azure Dedicated HSM?
Azure Payment HSM
FiPS 140-2 Level 3, PCI HSM v3, ověřená nabídka HSM na holém železe s jedním tenantem, která umožňuje zákazníkům pronájem platebního zařízení HSM v datacentrech Microsoftu pro platební operace, včetně zpracování PIN kódů plateb, vydávání platebních pověření, zabezpečení klíčů a ověřovacích dat a ochrany citlivých dat. Služba je kompatibilní s PCI DSS, PCI 3DS a PIN kódem PCI. Azure Payment HSM nabízí zákazníkům moduly HSM pro jednoho nájemce, aby měli úplnou administrativní kontrolu a výhradní přístup k HSM. Jakmile je HSM přidělen zákazníkovi, Microsoft nemá přístup k zákaznickým datům. Podobně platí, že pokud už modul hardwarového zabezpečení není potřeba, zákaznická data se vynulují a vymažou, jakmile se HSM uvolní, aby se zajistila úplná ochrana zákaznických údajů a zabezpečení. Další informace najdete v tématu Co je HSM pro platby Azure?
Poznámka:
* Azure Key Vault Premium umožňuje vytvářet softwarově chráněné klíče i klíče chráněné HSM. Pokud používáte Azure Key Vault Premium, ujistěte se, že je vytvořený klíč chráněný modulem HSM.
Ceny
Azure Key Vault úrovně Standard a Premium jsou účtovány na základě transakcí s dodatečným měsíčním poplatkem za klíče podporované premiovým hardwarem. Spravované HSM služby Azure Key Vault Managed HSM, Azure Dedicated HSM a Azure Payment HSM neúčtují poplatky na transakční bázi; místo toho jsou to zařízení, která jsou neustále v provozu a účtují se s pevnou hodinovou sazbou. Podrobné informace o cenách najdete v tématu Ceny služby Key Vault a ceny HSM plateb.
Omezení služby
Spravované HSM služby Azure Key Vault, Azure Dedicated HSM a HSM pro platby Azure nabízejí vyhrazenou kapacitu. Azure Key Vault Standard a Premium jsou nabídky s více nájemníky a mají omezení v rychlosti přístupu. Informace o omezeních služeb najdete v tématu Omezení služby Key Vault.
Šifrování neaktivních uložených dat
Azure Key Vault a Azure Key Vault Managed HSM jsou integrovány se službami Azure a Microsoft 365 pro klíče spravované zákazníkem, což znamená, že zákazníci mohou používat vlastní klíče v Azure Key Vault a Azure Key Vault Managed HSM k šifrování dat uložených v klidovém stavu v těchto službách. Azure Dedicated HSM a Azure Payment HSM jsou nabídky typu infrastruktura jako služba a nenabízejí integraci se službami Azure. Přehled šifrování neaktivních dat pomocí Azure Key Vault a Spravovaného HSM v rámci Azure Key Vault viz Azure Data Encryption-at-Rest.
Rozhraní API
Azure Dedicated HSM a Azure Payment HSM podporují rozhraní PKCS#11, JCE/JCA a KSP/CNG API, ale Azure Key Vault a spravované HSM služby Azure Key Vault ne. Azure Key Vault a spravovaný HSM služby Azure Key Vault používají rozhraní REST API služby Azure Key Vault a nabízejí podporu sady SDK. Další informace o rozhraní API služby Azure Key Vault najdete v referenčních informacích k rozhraní REST API služby Azure Key Vault.