Acerca de las claves

Azure Key Vault proporciona dos tipos de recursos para almacenar y administrar claves criptográficas. Los almacenes admiten claves protegidas por software y protegidas con HSM (módulo de seguridad de hardware). Los HSM administrados solo admiten claves protegidas con HSM.

Tipo de recurso	Métodos de protección de claves	URL base del punto de conexión del plano de datos
Almacenes	Protegidas mediante software y Protegidas con HSM (con SKU Premium)	https://{vault-name}.vault.azure.net
HSM administrados	Protegidas con HSM	https://{hsm-name}.managedhsm.azure.net

• Almacenes: los almacenes proporcionan una solución de administración de claves de bajo costo, fácil de implementar, multiinquilino, resistente a zona (donde esté disponible) y que resulta adecuada para la mayoría de los escenarios de aplicaciones en la nube.
• HSM administrados: HSM administrado proporciona HSM de un solo inquilino, resistentes a zona (donde esté disponible) y de alta disponibilidad para almacenar y administrar las claves criptográficas. Es más adecuado para aplicaciones y escenarios de uso que administran claves de alto valor. También ayuda a cumplir los requisitos de seguridad, cumplimiento normativo y regulación más estrictos.

Nota:

Los almacenes también le permiten almacenar y administrar varios tipos de objetos como secretos, certificados y claves de cuentas de almacenamiento además de las claves criptográficas.

Las claves criptográficas en Key Vault se representan como objetos de clave web JSON [JWK]. Las especificaciones de notación de objetos JavaScript (JSON) y de firma y cifrado de objetos JavaScript (JOSE) son:

• Clave web JSON (JWK)
• Cifrado web JSON (JWE)
• Algoritmos web JSON (JWA)
• Firma web JSON (JWS)

Las especificaciones de JWK/JWA base también se han ampliado para habilitar los tipos de clave únicos para las implementaciones de Azure Key Vault y HSM administrado.

Las claves protegidas con HSM (también conocidas como claves HSM) se procesan en un HSM (módulo de seguridad de hardware) y siempre permanecen dentro del límite de la protección del mismo.

• Los almacenes usan HSM validados con FIPS 140-2 nivel 2 para proteger las claves HSM en la infraestructura de back-end del HSM compartido.
• HSM administrado usa módulos HSM validados con FIPS 140-2 nivel 3 para proteger las claves. Cada grupo de HSM es una instancia aislada de un solo inquilino con su propio dominio de seguridad que proporciona un aislamiento criptográfico completo de todos los demás HSM que comparten la misma infraestructura de hardware.

Estas claves están protegidas en grupos de HSM de un solo inquilino. Puede importar una clave RSA, EC y simétrica de forma temporal o mediante la exportación desde un dispositivo HSM compatible. También puede generar claves en los grupos de HSM. Al importar claves de HSM mediante el método descrito en la especificación Bring Your Own Key, se permite el transporte seguro del material de la clave a los grupos de HSM administrados.

Para más información acerca de los límites geográficos, consulte Centro de confianza de Microsoft Azure

Tipos de clave y métodos de protección

Key Vault admite claves RSA y EC. HSM administrado admite claves RSA, EC y simétricas.

Claves protegidas con HSM

Tipo de clave	Almacenes (solo SKU Premium)	HSM administrados
EC-HSM: clave de curva elíptica	Compatible (P-256, P-384, P-521, secp256k1/P-256K)	Compatible (P-256, secp256k1/P-256K, P-384, P-521)
RSA-HSM: Clave RSA	Compatible (2048 bits, 3072 bits, 4096 bits)	Compatible (2048 bits, 3072 bits, 4096 bits)
oct-HSM: clave simétrica	No compatible	Compatible (128 bits, 192 bits, 256 bits)

Claves protegidas con software

Tipo de clave	Almacenes	HSM administrados
RSA: clave RSA "protegida con software"	Compatible (2048 bits, 3072 bits, 4096 bits)	No compatible
EC: clave de curva elíptica "protegida con software"	Compatible (P-256, P-384, P-521, secp256k1/P-256K)	No compatible

Cumplimiento normativo

Tipo de clave y destino	Cumplimiento normativo
Claves protegidas con software en almacenes (SKU Premium & Estándar)	FIPS 140-2 nivel 1
Claves protegidas con HSM en almacenes (SKU Premium)	FIPS 140-2 nivel 2
Claves protegidas con HSM en HSM administrado	FIPS 140-2 nivel 3

Consulte Tipos de claves, algoritmos y operaciones para más información sobre cada tipo de clave, algoritmos, operaciones, atributos y etiquetas.

Escenarios de uso

Cuándo se usa	Ejemplos
Cifrado de datos del servidor de Azure para proveedores de recursos integrados con claves administradas por el cliente	- Cifrado del servidor mediante claves administradas por el cliente en Azure Key Vault
Cifrado de datos del cliente	- Cifrado del cliente con Azure Key Vault
TLS sin clave	- Uso de bibliotecas cliente de claves

Pasos siguientes

• Administración de claves en Azure
• Acerca de Key Vault
• Acerca de HSM administrado
• Información acerca de los secretos
• Información acerca de los certificados
• Introducción a la API REST de Key Vault
• Autenticación, solicitudes y respuestas
• Guía del desarrollador de Key Vault