Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota
Confianza cero es una estrategia de seguridad que consta de tres principios: "Comprobar explícitamente", "Usar acceso con privilegios mínimos" y "Asumir una vulneración". La protección de datos, incluida la administración de claves, admite el principio de "Usar acceso con privilegios mínimos". Para obtener más información, consulte ¿Qué es la confianza cero?
En Azure, las claves de cifrado pueden estar administradas por la plataforma o administradas por el cliente.
Las claves administradas por la plataforma (PMK) son claves de cifrado que Azure genera, almacena y administra completamente. Los clientes no interactúan con PMK. Las claves usadas para Azure Data Encryption-at-Rest, por ejemplo, son PMK de forma predeterminada.
Por otro lado, las claves administradas por el cliente (CMK) son aquellas que uno o varios clientes leen, crean, eliminan, actualizan y/o administran. Las claves almacenadas en un almacén de claves propiedad del cliente o en un módulo de seguridad de hardware (HSM) son CMK. Bring Your Own Key (BYOK) es un escenario de CMK en el que un cliente importa (aporta) claves de una ubicación de almacenamiento externa a un servicio de administración de claves de Azure ( consulte Azure Key Vault: Bring Your Own Key).
Un tipo específico de clave administrada por el cliente es la "clave de cifrado de claves" (KEK). Una KEK es una clave principal que controla el acceso a una o varias claves de cifrado que están cifradas.
Las claves administradas por el cliente se pueden almacenar de forma local o, más comúnmente, en un servicio de administración de claves en la nube.
Servicio de administración de claves de Azure
Azure ofrece varias opciones para almacenar y administrar las claves en la nube, como Azure Key Vault, Azure Managed HSM, Azure Cloud HSM Preview, Azure Dedicated HSM y Azure Payment HSM. Estas opciones difieren en cuanto a su nivel de cumplimiento de FIPS, la sobrecarga de administración y las aplicaciones previstas.
Para obtener información general sobre cada servicio de administración de claves y una guía completa para elegir la solución de administración de claves adecuada, consulte Cómo elegir la solución de administración de claves adecuada.
Precios
Los niveles Estándar y Premium de Azure Key Vault se facturan de forma transaccional, con un cargo mensual adicional por clave para las claves con respaldo de hardware Premium. Managed HSM, Cloud HSM Preview, Dedicated HSM y Payments HSM no se cobran de forma transaccional; en su lugar, son dispositivos siempre en uso que se facturan a una tarifa horaria fija. Para obtener información detallada sobre los precios, consulte Precios de Key Vault, Dedicated HSM y Precios de Payment HSM.
Límites de servicio
Managed HSM, Cloud HSM Preview, Dedicated HSM y Payments HSM ofrecen capacidad dedicada. Key Vault Standard y Premium son ofertas multiinquilino y tienen límites de limitación. Para ver los límites de servicio, consulte Límites de servicio de Key Vault.
Cifrado en reposo
Azure Key Vault y Azure Key Vault Managed HSM tienen integraciones con los servicios de Azure y Microsoft 365 para claves administradas por el cliente, lo que significa que los clientes pueden usar sus propias claves en Azure Key Vault y HSM administrados de Azure para el cifrado en reposo de los datos almacenados en estos servicios. Cloud HSM Preview, Dedicated HSM y Payments HSM son ofertas de infraestructura como servicio y no ofrecen integraciones con los servicios de Azure. Para obtener información general sobre el cifrado en reposo con Azure Key Vault y Managed HSM, consulte Cifrado de datos en reposo de Azure.
APIs (Interfaz de Programación de Aplicaciones)
Cloud HSM Preview, Dedicated HSM y Payments HSM admiten las API PKCS#11, JCE/JCA y KSP/CNG, pero Azure Key Vault y Managed HSM no. Azure Key Vault y Managed HSM usan la API REST de Azure Key Vault y ofrecen compatibilidad con el SDK. Para obtener más información sobre la API Azure Key Vault, consulte Referencia de la API REST de Azure Key Vault.