Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Confiance Zéro est une stratégie de sécurité comprenant trois principes : « Vérifiez explicitement », « Utilisez l’accès à privilèges minimum » et « Supposez une violation ». La protection des données, y compris la gestion des clés, prend en charge le principe « Utilisez l’accès à privilèges minimum ». Pour plus d’informations, consultez Qu’est-ce qu’une Confiance Zéro ?
Dans Azure, vous pouvez utiliser des clés de chiffrement gérées par la plateforme ou gérées par le client.
Azure génère, stocke et gère entièrement des clés gérées par la plateforme (PMK). Vous n’avez pas besoin d’interagir avec les PMK. Par exemple, les clés utilisées pour Azure Data Encryption au repos sont des clés PMK par défaut.
Les clés gérées par le client sont des clés que vous pouvez créer, supprimer, utiliser et gérer. Vous pouvez stocker des clés CMK dans un coffre de clés appartenant au client ou dans un module de sécurité matériel (HSM). ByOK (Bring Your Own Key) est un scénario CMK dans lequel vous importez des clés à partir d’un emplacement de stockage externe dans un service de gestion de clés Azure. Pour plus d’informations, consultez Azure Key Vault : Apportez votre propre spécification de clé.
Une clé principale de chiffrement (KEK) est une clé primaire qui contrôle l’accès à une ou plusieurs clés de chiffrement qu'elle chiffre.
Vous pouvez stocker des clés gérées par le client localement ou, plus souvent, dans un service de gestion des clés cloud.
Services de gestion des clés Azure
Azure offre plusieurs options pour stocker et gérer vos clés dans le cloud, notamment Azure Key Vault, Azure Key Vault Managed HSM, Azure Cloud HSM et Azure Payment HSM. Ces options diffèrent en termes de niveau de conformité aux normes FIPS (Federal Information Processing Standard), de frais de gestion et d’applications prévues.
Pour obtenir un guide complet sur le choix de la solution de gestion de clés appropriée pour vos besoins spécifiques, consultez Comment choisir la solution de gestion des clés appropriée.
Azure Key Vault (niveau Standard)
Un service de gestion de clés cloud multilocataire validé FIPS 140-2 de niveau 1 que vous pouvez utiliser pour stocker des clés asymétriques, des secrets et des certificats. Les clés stockées dans Azure Key Vault sont protégées par logiciel et vous pouvez les utiliser pour le chiffrement au repos et les applications personnalisées. Azure Key Vault Standard fournit une API moderne et une étendue de déploiements et d’intégrations régionaux avec les services Azure. Pour plus d’informations, consultez À propos d’Azure Key Vault.
Azure Key Vault (niveau Premium)
Une offre HSM fiPS 140-3 de niveau 3 validée, conforme PCI, multilocataire que vous pouvez utiliser pour stocker des clés asymétriques, des secrets et des certificats. Vous stockez des clés dans une limite matérielle sécurisée à l’aide de HSM Marvell LiquidSecurity*. Microsoft gère et exploite le HSM sous-jacent. Vous pouvez utiliser des clés stockées dans Azure Key Vault Premium pour le chiffrement au repos et les applications personnalisées. Azure Key Vault Premium fournit également une API moderne et une étendue de déploiements et d’intégrations régionaux avec les services Azure.
Important
HSM intégré Azure : à partir du nouveau matériel serveur Azure (préversion AMD D et E Series v7), les puces HSM conçues par Microsoft sont incorporées directement sur des serveurs, répondant aux normes FIPS 140-3 de niveau 3. Ces puces résistantes à la falsification conservent les clés de chiffrement dans des limites matérielles sécurisées, éliminant ainsi les risques de latence et d’exposition. Le module HSM intégré fonctionne de manière transparente par défaut pour les services pris en charge tels qu’Azure Key Vault et le chiffrement de stockage Azure, fournissant une approbation appliquée par le matériel sans configuration supplémentaire. Cette intégration garantit que les opérations de chiffrement bénéficient de l’isolation de sécurité au niveau du matériel tout en conservant les performances et l’extensibilité des services cloud.
Si vous êtes un client Azure Key Vault Premium à la recherche de souveraineté de clé, d’une location unique ou d’opérations de chiffrement supérieures par seconde, envisagez plutôt azure Key Vault Managed HSM. Pour plus d’informations, consultez À propos d’Azure Key Vault.
HSM géré par Azure Key Vault
Une offre HSM à locataire unique validée FIPS 140-3 de niveau 3 qui donne aux clients un contrôle total d’un HSM pour le chiffrement au repos, le déchargement SSL/TLS sans clé et les applications personnalisées. Azure Key Vault Managed HSM est la seule solution de gestion de clés offrant des clés confidentielles. Les clients reçoivent un pool de trois partitions HSM, qui agissent ensemble comme une appliance HSM logique et hautement disponible, devant un service qui expose les fonctionnalités de chiffrement via l’API Key Vault. Microsoft gère l’approvisionnement, la mise à jour corrective, la maintenance et le basculement matériel des modules HSM, mais n’a pas accès aux clés elles-mêmes, car le service s’exécute dans l’infrastructure de calcul confidentielle d’Azure. Azure Key Vault Managed HSM est intégré aux services PaaS Azure SQL, Stockage Azure et Azure Information Protection et offre une prise en charge de TLS sans clé avec F5 et Nginx. Pour plus d’informations, consultez Qu’est-ce qu’Azure Key Vault Managed HSM ?.
Azure Cloud HSM
Un service à locataire unique conforme FIPS 140-3 de niveau 3 hautement disponible qui accorde aux clients une autorité administrative complète sur leurs HSM. Azure Cloud HSM est le successeur d’Azure Dedicated HSM et fournit un cluster HSM sécurisé appartenant au client pour stocker des clés de chiffrement et effectuer des opérations de chiffrement. Microsoft gère la haute disponibilité, la mise à jour corrective et la maintenance de l’infrastructure HSM. Le service prend en charge différentes applications, notamment PKCS#11, le déchargement SSL/TLS, la protection de clé privée de l’autorité de certification (CA), le chiffrement transparent des données (TDE) et la signature de code et de document. Azure Cloud HSM prend en charge les API standard, notamment PKCS#11, OpenSSL, JCA/JCE et Microsoft CNG/KSP, ce qui le rend idéal pour la migration d’applications à partir d’un HSM local, d’Azure Dedicated HSM ou d’AWS CloudHSM. Pour plus d’informations, consultez Qu’est-ce qu’Azure Cloud HSM ?.
HSM de paiement Azure
Une offre de PCI HSM v3 de matériel nu monolocataire aux normes FIPS 140-2 de niveau 3 qui permet aux clients de louer une appliance HSM de paiement dans les centres de données Microsoft pour les opérations de paiement, notamment le traitement des paiements par code PIN, l’émission d’informations d’identification de paiement, la sécurisation des clés et des données d’authentification et la protection des données sensibles. Le service est conforme à PCI DSS, PCI 3DS et PCI PIN. Azure Payment HSM offre des HSM monolocataires pour que les clients disposent d’un contrôle administratif complet et d’un accès exclusif au HSM. Une fois que le HSM est alloué à un client, Microsoft n’a pas accès aux données client. De même, lorsque le HSM n’est plus nécessaire, les données client sont supprimées et effacées dès que le HSM est libéré, pour garantir la confidentialité et la sécurité complètes. Pour plus d’informations, consultez Qu’est-ce qu’Azure Payment HSM ?.
Remarque
* Azure Key Vault Premium permet de créer des clés protégées par logiciel et HSM. Si vous utilisez Azure Key Vault Premium, vérifiez que la clé que vous créez est protégée par HSM.
HSM dédié Azure (mise hors service)
Le HSM dédié Azure prend sa retraite. Microsoft prendra entièrement en charge les clients HSM dédiés existants jusqu’au 31 juillet 2028. Aucune nouvelle intégration de clients n’est acceptée. Pour obtenir des détails complets et des actions requises, consultez la mise à jour Officielle d’Azure.
Si vous êtes un utilisateur Azure Dedicated HSM, consultez Migrer d’Azure Dedicated HSM vers Azure Managed HSM ou Azure Cloud HSM. Azure Cloud HSM est désormais en disponibilité générale et le successeur d’Azure Dedicated HSM.
Tarifs
Les niveaux Standard et Premium d'Azure Key Vault sont facturés sur une base transactionnelle, avec des frais mensuels supplémentaires par clé pour les clés sécurisées par matériel Premium. Azure Key Vault Managed HSM, Azure Cloud HSM et Azure Payment HSM ne facturent pas de frais transactionnels. Au contraire, ce sont des appareils constamment utilisés qui facturent à un tarif horaire fixe. Pour obtenir des informations de tarification détaillées, consultez la tarification key Vault, la tarification du HSM cloud et la tarification HSM de paiement.
Limites du service
Azure Key Vault Managed HSM, Azure Cloud HSM et Azure Payment HSM offrent une capacité dédiée. Azure Key Vault Standard et Premium sont des offres à locataires multiples et ont des limites de débit. Pour connaître les limites de service, consultez les limites du service Key Vault et les limites du service HSM cloud.
Chiffrement au repos
Azure Key Vault et Azure Key Vault Managed HSM s’intègrent aux services Azure et Microsoft 365 pour les clés gérées par le client. Vous pouvez utiliser vos propres clés dans Azure Key Vault et Azure Key Vault Managed HSM pour le chiffrement au repos des données stockées dans ces services. Azure Cloud HSM et Azure Payment HSM sont des offres Infrastructure-as-Service et n’offrent pas d’intégrations avec les services Azure. Pour obtenir une vue d’ensemble du chiffrement au repos avec Azure Key Vault et Azure Key Vault Managed HSM, consultez Azure Data Encryption au repos.
API
Azure Cloud HSM prend en charge les API PKCS#11, OpenSSL, JCA/JCE et KSP/CNG. Azure Payment HSM utilise des interfaces PayShield Thales pour la gestion et les opérations de chiffrement HSM. Azure Key Vault et Azure Key Vault Managed HSM ne prennent pas en charge ces API. Au lieu de cela, ils utilisent l’API REST Azure Key Vault et offrent une prise en charge du SDK. Pour plus d’informations sur l’API d’Azure Key Vault, consultez Informations de référence sur l’API REST Azure Key Vault.