Správa klíčů v Azure
Poznámka:
nulová důvěra (Zero Trust) je strategie zabezpečení, která obsahuje tři principy: "Ověřit explicitně", "Použít přístup s nejnižšími oprávněními" a "Předpokládat porušení zabezpečení". Ochrana dat, včetně správy klíčů, podporuje princip "použití přístupu s nejnižšími oprávněními". Další informace najdete v tématu Co je nulová důvěra (Zero Trust)?
V Azure můžou být šifrovací klíče spravované platformou nebo spravované zákazníkem.
Klíče spravované platformou (PMK) jsou šifrovací klíče generované, uložené a spravované výhradně v Azure. Zákazníci nepracují se sadami PMK. Klíče používané například pro službu Azure Data Encryption-at-Rest jsou ve výchozím nastavení sady PMK.
Klíče spravované zákazníkem (CMK) jsou naopak klíče přečtené, vytvořené, odstraněné, aktualizované a/nebo spravované jedním nebo více zákazníky. Klíče uložené v trezoru klíčů vlastněných zákazníkem nebo modulu hardwarového zabezpečení (HSM) jsou klíče CMK. Přineste si vlastní klíč (BYOK) je scénář CMK, ve kterém zákazník importuje klíče z externího umístění úložiště do služby správy klíčů Azure (viz Azure Key Vault: Specifikace přineste si vlastní klíč).
Konkrétním typem klíče spravovaného zákazníkem je "šifrovací klíč klíče" (KEK). Klíč KEK je primární klíč, který řídí přístup k jednomu nebo více šifrovacím klíčům, které jsou zašifrované.
Klíče spravované zákazníkem se dají ukládat místně nebo častěji ve službě pro správu cloudových klíčů.
Služby správy klíčů Azure
Azure nabízí několik možností pro ukládání a správu klíčů v cloudu, včetně Služby Azure Key Vault, Azure Managed HSM, Azure Dedicated HSM a Azure Payment HSM. Tyto možnosti se liší z hlediska úrovně dodržování předpisů FIPS, režie správy a zamýšlených aplikací.
Přehled jednotlivých služeb pro správu klíčů a komplexního průvodce výběrem správného řešení správy klíčů najdete v tématu Jak zvolit správné řešení správy klíčů.
Ceny
Úrovně Azure Key Vault Úrovně Standard a Premium se účtují na transakční bázi s dalšími měsíčními poplatky za klíč za klíče na úrovni Premium. Spravované HSM, vyhrazené HSM a platby HSM se neúčtují na transakční bázi; místo toho se vždy používají zařízení, která se účtují s pevnou hodinovou sazbou. Podrobné informace o cenách najdete v tématu Ceny služby Key Vault, ceny služby Dedicated HSM a ceny platebního HSM.
Omezení služby
Spravované HSM, vyhrazené HSM a platby HSM nabízejí vyhrazenou kapacitu. Key Vault Standard a Premium jsou nabídky s více tenanty a mají omezení omezování. Informace o omezeních služeb najdete v tématu Omezení služby Key Vault.
Šifrování neaktivních uložených dat
Spravované HSM služby Azure Key Vault a Azure Key Vault mají integraci se službami Azure a Microsoftem 365 pro klíče spravované zákazníkem, což znamená, že zákazníci můžou pro šifrování neaktivních uložených dat v těchto službách používat vlastní klíče ve službě Azure Key Vault a spravované HSM služby Azure Key. Modul hardwarového zabezpečení (HSM) a platby jsou nabídky typu infrastruktura jako služba a nenabízejí integraci se službami Azure. Přehled šifrování neaktivních uložených uložených dat pomocí služby Azure Key Vault a spravovaného HSM najdete v tématu Azure Data Encryption at-Rest.
Rozhraní API
Modul hardwarového zabezpečení (HSM) a platby podporují rozhraní API PKCS#11, JCE/JCA a KSP/CNG, ale Azure Key Vault a spravované HSM ne. Azure Key Vault a spravovaný HSM používají rozhraní REST API služby Azure Key Vault a nabízejí podporu sady SDK. Další informace o rozhraní API služby Azure Key Vault najdete v referenčních informacích k rozhraní REST API služby Azure Key Vault.