Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Remarque
Confiance Zéro est une stratégie de sécurité comprenant trois principes : « Vérifiez explicitement », « Utilisez l’accès à privilèges minimum » et « Supposez une violation ». La protection des données, y compris la gestion des clés, prend en charge le principe « Utilisez l’accès à privilèges minimum ». Pour plus d’informations, consultez Qu’est-ce qu’une Confiance Zéro ?
Dans Azure, les clés de chiffrement peuvent être gérées par la plateforme ou gérées par le client.
Les clés gérées par la plateforme (PMK) sont des clés de chiffrement qui sont entièrement générées, stockées et gérées par Azure. Les clients n’interagissent pas avec les PMK. Les clés utilisées pour Chiffrement des données au repos Azure, par exemple, sont des PMK par défaut.
Les clés gérées par le client (CMK), en revanche, sont des clés qui sont lues, créées, supprimées, mises à jour ou gérées par un ou plusieurs clients. Les clés stockées dans un coffre de clés ou un module de sécurité matériel (HSM) appartenant au client sont des CMK. Bring Your Own Key (BYOK) est un scénario CMK dans lequel un client importe (apporte) des clés d’un emplacement de stockage extérieur dans un service de gestion de clés Azure (voir Azure Key Vault : Spécification Bring Your Own Key).
La « clé de chiffrement de clé » (KEK) est un type spécifique de clé gérée par le client. Une KEK est une clé primaire, qui contrôle l’accès à une ou plusieurs clés de chiffrement qui sont elles-mêmes chiffrées.
Les clés gérées par le client peuvent être stockées localement ou, plus communément, dans un service de gestion des clés dans le cloud.
Services de gestion des clés Azure
Azure offre plusieurs options pour stocker et gérer vos clés dans le cloud, notamment Azure Key Vault, Azure Key Vault Managed HSM, Azure Cloud HSM et Azure Payment HSM. Ces options diffèrent en termes de niveau de conformité aux normes FIPS (Federal Information Processing Standard), de frais de gestion et d’applications prévues.
Pour obtenir un guide complet sur le choix de la solution de gestion de clés appropriée pour vos besoins spécifiques, consultez Comment choisir la solution de gestion des clés appropriée.
Azure Key Vault (niveau Standard)
Un service de gestion de clés cloud multi-locataire certifié FIPS 140-2 Niveau 1 qui peut être utilisé pour stocker des clés asymétriques, des secrets et des certificats. Les clés stockées dans Azure Key Vault sont protégées par logiciel et peuvent être utilisées pour les applications de chiffrement au repos et personnalisées. Azure Key Vault Standard fournit une API moderne et une étendue de déploiements et d’intégrations régionaux avec les services Azure. Pour plus d’informations, consultez À propos d’Azure Key Vault.
Azure Key Vault (niveau Premium)
Une offre HSM fiPS 140-3 de niveau 3 validée, conforme PCI, multilocataire qui peut être utilisée pour stocker des clés asymétriques, des secrets et des certificats. Les clés sont stockées dans une limite matérielle sécurisée à l’aide de HSM Marvell LiquidSecurity*. Microsoft gère et exploite le HSM sous-jacent, et les clés stockées dans Azure Key Vault Premium peuvent être utilisées pour le chiffrement au repos et les applications personnalisées. Azure Key Vault Premium fournit également une API moderne et une étendue de déploiements et d’intégrations régionaux avec les services Azure.
Important
HSM intégré Azure : à compter du nouveau matériel serveur Azure (préversion AMD D et E Series v7), les puces HSM conçues par Microsoft sont incorporées directement sur des serveurs, répondant aux normes FIPS 140-3 de niveau 3. Ces puces résistantes à la falsification conservent les clés de chiffrement dans des limites matérielles sécurisées, éliminant ainsi les risques de latence et d’exposition. Le module HSM intégré fonctionne de manière transparente par défaut pour les services pris en charge tels qu’Azure Key Vault et le chiffrement de stockage Azure, fournissant une approbation appliquée par le matériel sans configuration supplémentaire. Cette intégration garantit que les opérations de chiffrement bénéficient de l’isolation de sécurité au niveau du matériel tout en conservant les performances et l’extensibilité des services cloud.
Si vous êtes un client Azure Key Vault Premium à la recherche de souveraineté de clé, d’une location unique et/ou d’opérations de chiffrement supérieures par seconde, vous souhaiterez peut-être envisager le HSM managé Azure Key Vault à la place. Pour plus d’informations, consultez À propos d’Azure Key Vault.
HSM géré par Azure Key Vault
Une offre HSM à locataire unique validée FIPS 140-2 de niveau 3 qui donne aux clients un contrôle total d’un HSM pour le chiffrement au repos, le déchargement SSL/TLS sans clé et les applications personnalisées. Azure Key Vault Managed HSM est la seule solution de gestion de clés offrant des clés confidentielles. Les clients reçoivent un pool de trois partitions HSM, qui agissent ensemble comme une appliance HSM logique et hautement disponible, devant un service qui expose les fonctionnalités de chiffrement via l’API Key Vault. Microsoft gère l’approvisionnement, la mise à jour corrective, la maintenance et le basculement matériel des modules HSM, mais n’a pas accès aux clés elles-mêmes, car le service s’exécute dans l’infrastructure de calcul confidentielle d’Azure. Azure Key Vault Managed HSM est intégré aux services PaaS Azure SQL, Stockage Azure et Azure Information Protection et offre une prise en charge de TLS sans clé avec F5 et Nginx. Pour plus d’informations, consultez Qu’est-ce qu’Azure Key Vault Managed HSM ?.
Module de sécurité matériel (HSM) dédié Azure
Une offre HSM monolocataire validée au niveau 3 aux normes FIPS 140-2 qui donne aux clients le contrôle total d’un HSM pour PKCS#11, le déchargement du traitement SSL/TLS, la protection de la clé privée d’une autorité de certification, le chiffrement transparent des données, notamment la signature de documents et de code, ainsi que pour des applications personnalisées. Le client dispose d’un contrôle administratif total de son cluster HSM. Bien que les clients possèdent le déploiement et l’initialisation de leur HSM, Microsoft gère l’approvisionnement et l’hébergement du HSM. Azure Dedicated HSM prend en charge les cas d’usage existants, notamment l’utilisation de charges de travail lift-and-shift, PKI, SSL Offloading et TLS sans clé, les applications OpenSSL, Oracle TDE et Azure SQL TDE IaaS. Azure Dedicated HSM n’est intégré à aucune offre PaaS Azure. Pour plus d’informations, consultez Qu’est-ce qu’Azure Dedicated HSM ?.
HSM de paiement Azure
Une offre de PCI HSM v3 de matériel nu monolocataire aux normes FIPS 140-2 de niveau 3 qui permet aux clients de louer une appliance HSM de paiement dans les centres de données Microsoft pour les opérations de paiement, notamment le traitement des paiements par code PIN, l’émission d’informations d’identification de paiement, la sécurisation des clés et des données d’authentification et la protection des données sensibles. Le service est conforme à PCI DSS, PCI 3DS et PCI PIN. Azure Payment HSM offre des HSM monolocataires pour que les clients disposent d’un contrôle administratif complet et d’un accès exclusif au HSM. Une fois que le HSM est alloué à un client, Microsoft n’a pas accès aux données client. De même, lorsque le HSM n’est plus nécessaire, les données client sont supprimées et effacées dès que le HSM est libéré, pour garantir la confidentialité et la sécurité complètes. Pour plus d’informations, consultez Qu’est-ce qu’Azure Payment HSM ?.
Remarque
* Azure Key Vault Premium permet de créer des clés protégées par logiciel et HSM. Si vous utilisez Azure Key Vault Premium, vérifiez que la clé créée est protégée par HSM.
Tarifs
Les niveaux Azure Key Vault Standard et Premium sont facturés sur une base transactionnelle, avec des frais mensuels supplémentaires par clé pour les clés sauvegardées par matériel Premium. Azure Key Vault Managed HSM, Azure Dedicated HSM et Azure Payment HSM ne sont pas facturés sur une base transactionnelle ; Au lieu de cela, ils sont des appareils toujours en cours d’utilisation facturés à un tarif horaire fixe. Pour obtenir des informations de tarification détaillées, consultez la tarification Key Vault et la tarification HSM de Paiement.
Limites du service
Azure Key Vault Managed HSM, Azure Dedicated HSM et Azure Payment HSM offrent une capacité dédiée. Azure Key Vault Standard et Premium sont des offres à locataires multiples et ont des limites de débit. Pour connaître les limites de service, consultez Limites du service Key Vault.
Chiffrement au repos
Azure Key Vault et Azure Key Vault Managed HSM ont des intégrations avec les services Azure et Microsoft 365 pour les clés gérées par le client, ce qui signifie que les clients peuvent utiliser leurs propres clés dans Azure Key Vault et Azure Key Vault Managed HSM pour le chiffrement au repos des données stockées dans ces services. Azure Dedicated HSM et Azure Payment HSM sont des offres Infrastructure-as-Service et n’offrent pas d’intégrations avec les services Azure. Pour obtenir une vue d’ensemble du chiffrement au repos avec Azure Key Vault et Azure Key Vault Managed HSM, consultez Azure Data Encryption-at-Rest.
API
Azure Dedicated HSM et Azure Payment HSM prennent en charge les API PKCS#11, JCE/JCA et KSP/CNG, mais Azure Key Vault et Azure Key Vault Managed HSM ne le font pas. Azure Key Vault et Azure Key Vault Managed HSM utilisent l’API REST Azure Key Vault et offrent une prise en charge du SDK. Pour plus d’informations sur l’API d’Azure Key Vault, consultez Informations de référence sur l’API REST Azure Key Vault.