Gestion des clés dans Azure
Notes
Confiance Zéro est une stratégie de sécurité comprenant trois principes : « Vérifiez explicitement », « Utilisez l’accès à privilèges minimum » et « Supposez une violation ». La protection des données, y compris la gestion des clés, prend en charge le principe « Utilisez l’accès à privilèges minimum ». Pour plus d’informations, consultez Qu’est-ce qu’une Confiance Zéro ?
Dans Azure, les clés de chiffrement peuvent être gérées par la plateforme ou gérées par le client.
Les clés gérées par la plateforme (PMK) sont des clés de chiffrement qui sont entièrement générées, stockées et gérées par Azure. Les clients n’interagissent pas avec les PMK. Les clés utilisées pour Chiffrement des données au repos Azure, par exemple, sont des PMK par défaut.
Les clés gérées par le client (CMK), en revanche, sont des clés qui sont lues, créées, supprimées, mises à jour ou gérées par un ou plusieurs clients. Les clés stockées dans un coffre de clés ou un module de sécurité matériel (HSM) appartenant au client sont des CMK. Bring Your Own Key (BYOK) est un scénario CMK dans lequel un client importe (apporte) des clés d’un emplacement de stockage extérieur dans un service de gestion de clés Azure (voir Azure Key Vault : Spécification Bring Your Own Key).
La « clé de chiffrement de clé » (KEK) est un type spécifique de clé gérée par le client. Une KEK est une clé primaire, qui contrôle l’accès à une ou plusieurs clés de chiffrement qui sont elles-mêmes chiffrées.
Les clés gérées par le client peuvent être stockées localement ou, plus communément, dans un service de gestion des clés dans le cloud.
Services de gestion des clés Azure
Azure propose plusieurs options de stockage et de gestion de vos clés dans le cloud, notamment Azure Key Vault, Azure Managed HSM, Azure Dedicated HSM et Azure Payments HSM. Ces options diffèrent en termes de niveau de conformité aux normes FIPS (Federal Information Processing Standard), de frais de gestion et d’applications prévues.
Pour obtenir une vue d’ensemble de chaque service de gestion des clés et un guide complet pour choisir la solution de gestion des clés qui vous convient, consultez Comment choisir la solution de gestion des clés appropriée.
Tarifs
Les niveaux Standard et Premium d’Azure Key Vault sont facturés sur une base transactionnelle, avec un supplément mensuel par clé pour les clés matérielles Premium. Managed HSM, Dedicated HSM et Payments HSM ne sont pas facturés sur une base transactionnelle ; il s’agit d’appareils toujours en service qui sont facturés à un taux horaire fixe. Pour plus d’informations détaillées sur la tarification, consultez Tarification Key Vault, Tarification Dedicated HSM et Tarification Payments HSM.
Limites du service
Les services Managed HSM, Dedicated HSM et Payments HSM offrent une capacité dédiée. Key Vault Standard et Premium sont des offres multilocataires qui ont des limitations. Pour connaître les limites de service, consultez Limites du service Key Vault.
Chiffrement au repos.
Azure Key Vault et Azure Key Vault Managed HSM sont intégrés aux services Azure et à Microsoft 365 pour les clés gérées par le client, ce qui signifie que les clients peuvent utiliser leurs propres clés dans Azure Key Vault et Azure Key Managed HSM pour le chiffrement au repos des données stockées dans ces services. Dedicated HSM et Payments HSM sont des offres IaaS et ne proposent pas d’intégrations aux services Azure. Pour une vue d’ensemble du chiffrement au repos avec Azure Key Vault et Managed HSM, consultez Chiffrement au repos des données Azure.
API
Dedicated HSM et Payments HSM prennent en charge les API PKCS#11, JCE/JCA et KSP/CNG, mais Azure Key Vault et Managed HSM ne le font pas. Azure Key Vault et Managed HSM utilisent l’API REST d’Azure Key Vault et offrent une prise en charge du Kit de développement logiciel (SDK). Pour plus d’informations sur l’API d’Azure Key Vault, consultez Informations de référence sur l’API REST Azure Key Vault.