Administración de claves en Azure
Nota
Confianza cero es una estrategia de seguridad que consta de tres principios: "Comprobar explícitamente", "Usar acceso con privilegios mínimos" y "Asumir una vulneración". La protección de datos, incluida la administración de claves, admite el principio de "Usar acceso con privilegios mínimos". Para obtener más información, consulte ¿Qué es la confianza cero?
En Azure, las claves de cifrado pueden estar administradas por la plataforma o administradas por el cliente.
Las claves administradas por la plataforma (PMK) son claves de cifrado que Azure genera, almacena y administra completamente. Los clientes no interactúan con PMK. Las claves usadas para Azure Data Encryption-at-Rest, por ejemplo, son PMK de forma predeterminada.
Por otro lado, las claves administradas por el cliente (CMK) son aquellas que uno o varios clientes leen, crean, eliminan, actualizan y/o administran. Las claves almacenadas en un almacén de claves propiedad del cliente o en un módulo de seguridad de hardware (HSM) son CMK. Bring Your Own Key (BYOK) es un escenario de CMK en el que un cliente importa (aporta) claves de una ubicación de almacenamiento externa a un servicio de administración de claves de Azure ( consulte Azure Key Vault: Bring Your Own Key).
Un tipo específico de clave administrada por el cliente es la "clave de cifrado de claves" (KEK). Una KEK es una clave principal que controla el acceso a una o varias claves de cifrado que están cifradas.
Las claves administradas por el cliente se pueden almacenar de forma local o, más comúnmente, en un servicio de administración de claves en la nube.
Servicio de administración de claves de Azure
Azure ofrece varias opciones para almacenar y administrar las claves en la nube, como Azure Key Vault, Azure Managed HSM, Azure Dedicated HSM y Azure Payment HSM. Estas opciones difieren en cuanto a su nivel de cumplimiento de FIPS, la sobrecarga de administración y las aplicaciones previstas.
Para obtener información general sobre cada servicio de administración de claves y una guía completa para elegir la solución de administración de claves adecuada, consulte Cómo elegir la solución de administración de claves adecuada.
Precios
Los Azure Key Vault estándar y Premium se facturan de forma transaccional, con un cargo mensual adicional por clave para las claves con respaldo de hardware prémium. Managed HSM, Dedicated HSM y Payment HSM no se cobran de forma transaccional; en su lugar, son dispositivos siempre en uso que se facturan a una tarifa por hora fija. Para obtener información detallada sobre los precios, consulte Precios de Key Vault, Dedicated HSM y Precios de Payment HSM.
Límites de servicio
Managed HSM administrado, Dedicated HSM y Payment HSM en capacidad dedicada. Key Vault estándar y Premium son ofertas multiinquilino y tienen límites. Para ver los límites de servicio, consulte Límites de servicio de Key Vault.
Cifrado en reposo
Azure Key Vault y Azure Key Vault Managed HSM tienen integraciones con los servicios de Azure y Microsoft 365 para las claves administradas por el cliente, lo que significa que los clientes pueden usar sus propias claves en Azure Key Vault y Azure Key Managed HSM para el cifrado en reposo de los datos almacenados en estos servicios. Dedicated HSM y Payment HSM son ofertas de infraestructura como servicio y no ofrecen integraciones con los servicios de Azure. Para obtener información general sobre el cifrado en reposo con Azure Key Vault y Managed HSM, consulte Cifrado de datos en reposo de Azure.
API existentes
Dedicated HSM y Payment HSM admiten las API PKCS#11, JCE/JCA y KSP/CNG, pero Azure Key Vault y Managed HSM no. Azure Key Vault y Managed HSM usan la API REST de Azure Key Vault y ofrecen compatibilidad con el SDK. Para obtener más información sobre la API Azure Key Vault, consulte Referencia de la API REST de Azure Key Vault.