Acerca de las claves
Azure Key Vault proporciona dos tipos de recursos para almacenar y administrar claves criptográficas. Los almacenes admiten claves protegidas por software y protegidas con HSM (módulo de seguridad de hardware). Los HSM administrados solo admiten claves protegidas con HSM.
| Tipo de recurso | Métodos de protección de claves | URL base del punto de conexión del plano de datos |
|---|---|---|
| Almacenes | Protegidas mediante software y Protegidas con HSM (con SKU Premium) |
https://{vault-name}.vault.azure.net |
| HSM administrados | Protegidas con HSM | https://{hsm-name}.managedhsm.azure.net |
- Almacenes: los almacenes proporcionan una solución de administración de claves de bajo costo, fácil de implementar, multiinquilino, resistente a zona (donde esté disponible) y que resulta adecuada para la mayoría de los escenarios de aplicaciones en la nube.
- HSM administrados: HSM administrado proporciona HSM de un solo inquilino, resistentes a zona (donde esté disponible) y de alta disponibilidad para almacenar y administrar las claves criptográficas. Es más adecuado para aplicaciones y escenarios de uso que administran claves de alto valor. También ayuda a cumplir los requisitos de seguridad, cumplimiento normativo y regulación más estrictos.
Nota:
Los almacenes también le permiten almacenar y administrar varios tipos de objetos como secretos, certificados y claves de cuentas de almacenamiento además de las claves criptográficas.
Las claves criptográficas en Key Vault se representan como objetos de clave web JSON [JWK]. Las especificaciones de notación de objetos JavaScript (JSON) y de firma y cifrado de objetos JavaScript (JOSE) son:
Las especificaciones de JWK/JWA base también se han ampliado para habilitar los tipos de clave únicos para las implementaciones de Azure Key Vault y HSM administrado.
Las claves HSM en almacenes están protegidas, las claves de software no están protegidas por HSM.
- Las claves almacenadas en almacenes se benefician de una protección sólida mediante HSM validad por FIPS 140. Hay dos plataformas HSM distintas disponibles: 1, que protege las versiones clave con FIPS 140-2 nivel 2 y 2, que protege las claves con HSM de FIPS 140-2 Nivel 3, en función de cuándo se creó la clave. Todas las nuevas claves y versiones de clave ahora se crean con la plataforma 2 (excepto la geo del Reino Unido). Para determinar qué plataforma HSM protege una versión de clave, obtenga hsmPlatform.
- HSM administrado usa módulos HSM validados con FIPS 140-2 nivel 3 para proteger las claves. Cada grupo de HSM es una instancia aislada de un solo inquilino con su propio dominio de seguridad que proporciona un aislamiento criptográfico completo de todos los demás HSM que comparten la misma infraestructura de hardware.
Estas claves están protegidas en grupos de HSM de un solo inquilino. Puede importar una clave RSA, EC y simétrica de forma temporal o mediante la exportación desde un dispositivo HSM compatible. También puede generar claves en los grupos de HSM. Al importar claves de HSM mediante el método descrito en la especificación Bring Your Own Key, se permite el transporte seguro del material de la clave a los grupos de HSM administrados.
Para más información acerca de los límites geográficos, consulte Centro de confianza de Microsoft Azure
Tipos de clave y métodos de protección
Key Vault admite claves RSA y EC. HSM administrado admite claves RSA, EC y simétricas.
Claves protegidas con HSM
| Tipo de clave | Almacenes (solo SKU Premium) | HSM administrados |
|---|---|---|
| EC-HSM: clave de curva elíptica | Compatible (P-256, P-384, P-521, secp256k1/P-256K) | Compatible (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: Clave RSA | Compatible (2048 bits, 3072 bits, 4096 bits) | Compatible (2048 bits, 3072 bits, 4096 bits) |
| oct-HSM: clave simétrica | No compatible | Compatible (128 bits, 192 bits, 256 bits) |
Claves protegidas con software
| Tipo de clave | Almacenes | HSM administrados |
|---|---|---|
| RSA: clave RSA "protegida con software" | Compatible (2048 bits, 3072 bits, 4096 bits) | No compatible |
| EC: clave de curva elíptica "protegida con software" | Compatible (P-256, P-384, P-521, secp256k1/P-256K) | No compatible |
Cumplimiento normativo
| Tipo de clave y destino | Cumplimiento normativo |
|---|---|
| Claves protegidas por software (hsmPlatform 0) en almacenes | FIPS 140-2 nivel 1 |
| Claves protegidas de hsmPlatform 1 en almacenes (SKU Premium) | FIPS 140-2 nivel 2 |
| Claves protegidas de hsmPlatform 2 en almacenes (SKU Premium) | FIPS 140-2 nivel 3 |
| Las claves de HSM administrado siempre están protegidas por HSM | FIPS 140-2 nivel 3 |
Consulte Tipos de claves, algoritmos y operaciones para más información sobre cada tipo de clave, algoritmos, operaciones, atributos y etiquetas.
Escenarios de uso
| Cuándo se usa | Ejemplos |
|---|---|
| Cifrado de datos del servidor de Azure para proveedores de recursos integrados con claves administradas por el cliente | - Cifrado del servidor mediante claves administradas por el cliente en Azure Key Vault |
| Cifrado de datos del cliente | - Cifrado del cliente con Azure Key Vault |
| TLS sin clave | - Uso de bibliotecas cliente de claves |