Schlüsselverwaltung in Azure
Hinweis
Zero Trust ist eine Sicherheitsstrategie, die drei Prinzipien umfasst: „Explizit überprüfen“, „Zugriff mit geringsten Berechtigungen verwenden“ und „Von einer Verletzung ausgehen“. Der Datenschutz, einschließlich der Schlüsselverwaltung, unterstützt das Prinzip „Zugriff mit den geringsten Rechten verwenden“. Weitere Informationen finden Sie unter Was ist Zero Trust?
In Azure können Verschlüsselungsschlüssel entweder plattformseitig oder kundenseitig verwaltet werden.
Plattformseitig verwaltete Schlüssel (Platform-Managed Keys, PMKs) sind Verschlüsselungsschlüssel, die vollständig von Azure generiert, gespeichert und verwaltet werden. Es erfolgt keine Interaktion der Kunden mit PMKs. Bei den Schlüsseln, die beispielsweise für die Azure-Datenverschlüsselung ruhender Daten verwendet werden, handelt es sich standardmäßig um PMKs.
Kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs) hingegen sind Schlüssel, die von einem oder mehreren Kunden gelesen, erstellt, gelöscht, aktualisiert und/oder verwaltet werden. Bei Schlüsseln, die in einem kundeneigenen Schlüsseltresor oder Hardwaresicherheitsmodul (HSM) gespeichert sind, handelt es sich um CMKs. Bring Your Own Key (BYOK) ist ein CMK-Szenario, in dem ein Kunde Schlüssel von einem externen Speicherort in einen Azure-Schlüsselverwaltungsdienst importiert (siehe Azure Key Vault: Bring Your Own Key-Spezifikation).
Ein besonderer Typ von kundenseitig verwaltetem Schlüssel ist der „Schlüsselverschlüsselungsschlüssel“ (Key Encryption Key, KEK). Ein KEK ist ein Primärschlüssel, der den Zugriff auf einen oder mehrere Verschlüsselungsschlüssel steuert, die selbst verschlüsselt sind.
Kundenseitig verwaltete Schlüssel können lokal oder – was häufiger der Fall ist – in einem Schlüsselverwaltungsdienst in der Cloud gespeichert werden.
Azure-Schlüsselverwaltungsdienste
Azure bietet mehrere Optionen zum Speichern und Verwalten Ihrer Schlüssel in der Cloud. Dazu gehören Azure Key Vault, verwaltetes Azure-HSM, Azure Dedicated HSM und Azure Payment HSM. Diese Optionen unterscheiden sich in Bezug auf die FIPS-Konformitätsstufe, den Verwaltungsaufwand und die vorgesehenen Anwendungen.
Eine Übersicht über jeden Schlüsselverwaltungsdienst und eine umfassende Anleitung zur Auswahl der richtigen Schlüsselverwaltungslösung finden Sie unter Auswählen der richtigen Schlüsselverwaltungslösung.
Preise
Die Azure Key Vault Standard- und Premium-Tarife werden auf Transaktionsbasis abgerechnet, wobei für hardwaregestützte Premiumschlüssel eine zusätzliche monatliche Gebühr pro Schlüssel berechnet wird. Verwaltetes HSM, Dedicated HSM und Payment HSM werden nicht auf Transaktionsbasis abgerechnet. Stattdessen handelt es sich um ständig genutzte Geräte, die zu einem festen Stundensatz abgerechnet werden. Ausführliche Preisinformationen finden Sie unter Key Vault – Preise, Dedicated HSM – Preise und Payment HSM – Preise.
Diensteinschränkungen
Verwaltetes HSM, Dedicated HSM und Payment HSM bieten dedizierte Kapazität. Key Vault Standard und Premium sind mehrinstanzenfähige Angebote mit Drosselungslimits. Informationen zu Diensteinschränkungen finden Sie unter Grenzwerte des Key Vault-Diensts.
Verschlüsselung ruhender Daten
Azure Key Vault und verwaltetes HSM von Azure Key Vault verfügen über Integrationen in Azure-Dienste und Microsoft 365 für kundenseitig verwaltete Schlüssel. Das bedeutet, dass Kunden in Azure Key Vault und verwaltetem HSM von Azure Key Vault ihre eigenen Schlüssel für die Verschlüsselung ruhender Daten verwenden können, die in diesen Diensten gespeichert sind. Dedicated HSM und Payment HSM sind Infrastructure-as-a-Service-Angebote und bieten keine Integrationen in Azure-Dienste. Eine Übersicht über die Verschlüsselung ruhender Daten mit Azure Key Vault und verwaltetem HSM finden Sie unter Azure-Datenverschlüsselung ruhender Daten.
APIs
Dedicated HSM und Payment HSM unterstützen die PKCS#11-, JCE/JCA- und KSP/CNG-APIs. Bei Azure Key Vault und verwaltetem HSM ist das nicht der Fall. Azure Key Vault und verwaltetes HSM verwenden die Azure Key Vault-REST-API und bieten SDK-Unterstützung. Weitere Informationen zur Azure Key Vault-API finden Sie in der Referenz für die Azure Key Vault-REST-API.